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Termin „Internet" zadomowił się już na dobre w wielu językach, a mnóstwo, 
skądinąd po wa żnych lu dzi, z ra do ścią po dr óżuje po in fo stra dzie. Dlatego mo żna 
po wie dzieć, że sie ci kom pu te ro we stają się już czy mś tak zwykłym jak te le wi zo ry 
iku chenkimikrofalo we. In ternet cieszy sięniezwykłym za interesowaniem mediów, 
a stu den ci so cjo lo gii za czy nają się spe cja li zo wać w gru pach dys ku syj nych Usenetu, 
środowiskach elektronicznej rzeczywistości wirtualnej i WWW, badając w ten 
sposób nową „kul tu rę in ter ne tową" . 

Oczy wiś cie sieć ist nieje z da wien daw na. Łącze nie kom puterów tak, aby two rzyły 
sie ci lo kal ne, było po wszech ne w przy pad ku małych in sta la cji, a gdy ma szy ny były 
od siebie oddalone wykorzystywano łącza telekomunikacyjne. Jednakże szybki 
rozw ój sie ci ogó lnoświatowych dał szan sę przyłącze nia się do glo bal nej wio ski wie 
lu zwykłym użyt kow ni kom komp ute rów oraz małym, nie do cho do wym or ga ni za- 
cjom pry wat nym. Wy ra źnie spa dają ce ny ho stów in ter ne to wych z obsługą pocz ty 
i grup dys ku syj nych przez do stęp ko mu to wa ny oraz ISDN, a po ja wie nie się DSL 
(DigitalSubscriberLinę) oraz technologiimodemów ka blo wych niewątpli wie pod- 
trzy ma tę ten den cję. 

Jeżeli mówimy o sieciach komputerowych, nie sposób nie wspomnieć o Uniksie. 
Oczywiście Unix nie jest jedynym systemem operacyjnym, który może pracować 
w sie ci, ani też na wet nie jest naj po pu lar niej szym z nich, ale w biz ne sie sie cio wym 
ist nie je od daw na i z całą pew no ścią bę dzie ist niał jesz cze przez ja kiś czas. 

Unix jest szczególnie cie kawy dla zwykłych użytkowników dzię ki te mu, że włożono 
wie le wy siłku w stwo rzen ie dla PC dar mow ych uniks owy ch syste mów ope ra cyj- 
nych, ta kich jak 386BSD, Fre eBSD czy Li nux. 

Li nux jest dys try bu owaną bezpłat nie od mianą Unik sa, prze zna czoną dla kom pu te 
rów oso bi stych. Ak tu al nie działa na róż nych ma szy nach, i na tych z pro ce sa mi fir my 
Intel, z pro ce sora mi Mo to ro la 680x0 (np. Com mo do re Amiga i Ap ple Ma cin tosh); na 
maszynach Sun SPARC i Ultra-SPARC; na Alphach firmy Compaą; MIPS-ach; 
na PowerPC, czy li na no wej ge ne ra cji kom pu te rów Ap ple Ma cin tosh, i na Strong- 
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ARM-ach, ta kich jak Ne twin der fir my re bel.com czy palm to py fir my 3Com. Li nux 
zo stał za adap to wa ny ta kże na pew ne sto sun ko wo mało zna ne piat for my, ta kie jak 
Fujitsu AP-1000 ilBMSys tern 3/90. Aktualnie realizowane są adaptacje na inne inte 
re sujące ar chi tek tu ry, a za da nie prze nie sie nia Linuk sa do po sta ci za mknię te go kon 
tro le ra ta kże wygląda obie cująco. 

Li nux roz wi ja się dzię ki za an ga żowa niu du żej gru py ochot ni ków z In ter ne tu. Pro¬ 
jekt zo stał za początko wa ny w 1990 ro ku przez Li nu sa Torvald sa - wów czas stu den- 
ta fiń skie go col lege 'u- w ra mach za jęć z sys te mów ope ra cyj nych. Od te go cza su Li- 
nux urósł do ran gi pełne go kio nu Unik sa, na któ rym mo żna uru cha miąć apli ka cje 
tak róż no rod ne, jak pro gra my do sy mu la cji i mo de lo wa nia, pro ce so ry tek stu, sys te 
my roz pozna wa nia mo wy, przeglądar ki WWW i mnó stwo in ne go opro gra mo wa- 
nia, włączając w to różne doskonałe gry. Współpracuje z różnorodnymsprzętem, 
a za wie ra pełną im ple men ta cję sie ci TCP/IP (łącznie z pro to kołami SLIP i PPP oraz 
fi re walla mi), pełną im ple men ta cję pro tokołu IPX, a ta kże im ple men ta cje wie lu funk 
cji oraz pro to kołów, któ rych nie znaj dzie my w żad nym in nym sys te mie ope ra cyj- 
nym. Li nux jest wy daj ny, szyb ki i dar mo wy, a je go po pu lar ność na świe cie po za In¬ 
ter ne tern ro śnie w szyb kim tern pie. 

Sam sys tern ope ra cyj ny Li nux zo stał ob ję ty li cen cją pu bliczną GNU, tą samą, któ ra 
jest używana przez oprogramowanie tworzone przez Free Software Foundation 
(Fundację Wolnego Oprogramowania). Licencja pozwala każdemu na dystrybu¬ 
owanie imodyfiko wa nie opro gra mo wania (bezpłatnie lub dlazysku) dopóty, dopó¬ 
ki wszyst kie mo dy fi ka cje i dys try bu cje są rów nież bezpłat nie udo stęp nia ne. Okre 
śle nie „ wol neoprogramo wa nie" oznacza wol ność apli ka cji, a nie wol ność kosz tów. 

Po co i dla kogo jest ta książka 

Ni niej sza książka zo stała na pi sa na po to, aby w jed nym miej scu ze brać in for ma cje 
po trzeb ne ad mi ni stra to rom sie ci śro do wi ska Li nux. Za rów no początkujący, jak i za- 
a wan so wa ni uży t ko w ni cy po win ni tu zna le źć in for ma cje po trzeb ne do wy ko na nia 
wię k szo ści naj wa żniejszychzadańadministracyjnych, wy ma ga nych do kon fi gu ra¬ 
cji sie ci w Linuksie. Te mat tej książki - sie ci - jest pra wie nie ogra ni czo ny, a więc 
oczy wiś cie nie mo żli wo ścią jest opi sa nie wszystkie go i w ka żdy m aspek cie. Pod ję liś- 
my próbę pre zen ta cji wię k szo ści wa żnych i po wszech nie spo ty ka nych za dań. Na¬ 
szym zamierzeniem było, aby ta książka służyła pomocą nawet początkującym 
adep tom sie ci linuk so wych (ta kże tym, któ rzy nie mie li jesz cze do czy nie nia z unik- 
so po dob nym sys te mem ope ra cyj nym), aby po jej lek tu rze mo gli po praw nie skon fi- 
gu ro wać swoją sieć w Linuksie. 

Istnieje wiele książek i innych źródeł informacji, które poruszają tematy opisane 
w tej książce (z małymi wyjątka mi praw dzi wie linuk so wych funk cji, ta kich jak no¬ 
wy in ter fejs fi re wa la, któ ry nie jest nig dzie in dziej do brze udo ku men to wa ny). Gdy¬ 
byś chciał się do wie dzieć wię cej, w po niż szym pod roz dzia le za miesz cza my bi blio- 
grafię. 
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Źródła informacji 

Je żeli je steś no wi cju szem w świe cie Linuk sa, masz wiele do przej rze nia i prze czy ta¬ 
nia. Po mocne, acz kolwiekniekoniecz ne, jestposia danie dostępu dolnter netu. 

Podręcznikize społu Linux Do cu men ta tion Project (Projekt Doku men ta cjiLinuksa-IZDP) 
ProjektDokumentacji Linuk sa to gru pa ochot ni ków, któ ry oprą co wują książki 
(przewodniki), dokumenty HOWTO, strony podręcznika elektronicznego na 
róż ne te ma ty: od in sta la cji po pro gra mo wa nie jądra. Pu bli ka cje LDP to mię dzy 
innymi: 

Linux In stal la tion and Get tingStar ted 

Ta książka, na pi sa na pod kie run kiem Mat ta Weis ha, opi su je jak zdo być, za in¬ 
stalować i używać Linuk sa. Za wie ra wpro wa dze nie do Unik sa i in for ma cje 
o ad mi ni stra cji sys te mu, sys te mie X Win dow oraz sie ci. 

Linux Sys tern Ad ministra tion Gu ide 

Ta książka, na pi sa na przez Lar sa Wi rze niu sa i Jo an nę Oja, jest og ól nym prze 
wodnikiem po administracji Linuksa i porusza takie tematy, jak tworze nie i 
konfigurowanie użytkowników, wykonywanie kopii zapasowych systemu, 
konfigurowanie podstawowych pakietów i instalowanie oraz uaktualnianie 
oprogramowania. 

Linux Sys tern Ad ministra tion Madę Basy 

Ta książka, na pi sa na przez Steve'a Framp to na, opi su je co dzień ne za da nia ad- 
mi ni stra cyj ne i za gad nie nia związane z utrzy ma niem Linuk sa w od nie sie niu 
do jego użytkowników. 

LinuxProgram mers Gu ide 

Ta książka, na pi sa na przez B. Scot ta Bur ket ta, Sve na Gold ta, Joh na D. Har pe 
ra, Sve na van der Me era i Mat ta Weis ha, bę dzie in te re sująca dla tych, kt ór zy 
chcą two rzyć apli ka cje dla Linuk sa. 

TheLinuxKer nel 

Ta książka, na pi sa na przez Davi da A. Ruslin ga, za wie ra wpro wa dze nie do 
jądra Linuk sa: opi su je jego bu do wę oraz działanie. 

TheLinuxKer nelModu leProgramming Guide 

Ta książka, napisana przez Ori Pomerantza, stanowi podręcznik wyja¬ 
śniający, jak pi sać moduły jądra Linuk sa. 

W fazie tworzenia są kolejne podręczniki. Więcej informacji na temat LDP znaj¬ 
dziesz na stro nach WWW pod ad re sem http://ivww.linuxdoc.org/ lub jed nym z je go 
ser we rówlu strza nych. 

Dokumenty HOWTO 

Do ku men ty HOWTO po świę co ne Linuk so wi to sze reg szcze golowych oprą co- 
wań oma wiających bar dzo róż ne aspek ty sys te mu, ta kie jak in sta la cja i kon fi gu- 
ra cja opro gra mo wa nia sys te mu X Win dow lub pi sa nie w asem ble rze pod Li nuk- 
sem. Ge ne rai nie znaj dują się one w pod ka ta lo gu HOWTO ośrod ków FTP lub są 
do stęp ne na stro nach WWW za wie rających do ku men ty Pro jek tu Do ku men ta cji 
Linuksa. W pliku HOWTO-INDEX znaj dziesz li stę tego, co jest do stęp ne. 
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Mogą ci się przy dać:Insfa//afK)?zHOWTO,opisującyjakzainstalowaćLinuksana 
two im kom pu te rz e,Hardwa reCompa tibilityHOWT O , za wie rający li stę urządzeń, 
o których wiadomo, że działają w Linuksie, oraz Distribution HOWTO, za wie 
rający li stę sp rzedawców opro gra mo wa nia ofe rujących Linuk sa na dys kiet kach 
lub na płytach CD-ROM. 

Często za da wa nepy ta nia na temat Linuksa (LinuxFrequ en tlyAsked Qu estions) ,F AQ 

FAQ ( The Li nux Frecju ent ly Asked Qu estions with Ans wers ) gromadziróżnorodne 
py tan ia i od pow iedzi na te mat sys temu. Jest to obo wiązko wa lek tura dla ka ż de 
gono wicjusza. 

Doku men ta cja do stęp na przez FTP 

Je żeli masz do stęp do ano ni mo wych ser we rów FTP, możesz z nich po brać całą wspo¬ 
mnianą tu taj do ku men ta cję Li nu k sa. Wypró buj ta kie ad resy]akmetalab.unc.edu:/pub/Li 
nux/docs i tsx-ll.mit.edu/pub/linux/docs. 

Do ku men ta cja do stęp na przez WWW 

Do stęp nych jest wie le ośrod ków WWW związa nych z Linuk sem. Ma cie rzy sta stro na 
Pro jek tu Do ku men ta cjiLinuksa znaj duje się pod adresem http://www.linuxdoc.org/. 

OSWG ( Open Source Writers Guild ) jest projektem wykraczającym poza Linuksa. 
OSWG, po dob nie jak ta książka, opo wia da się za two rze niem do ku men ta cji Open- 
Source. Witryna macierzysta OSWG znajduje się pod adresem http://www.oswg. 
org:8080/oswg. 

Obie po wy ższe wi try ny za wie rają wersjehiper teksto we (iinne) wielu dokumentów 
związa nych z Linuk sem. 

Dokumentacjadostępnaodpłatnie 

Liczne wydawnictwa i sprzedawcy oprogramowania publikują prace stworzone 
w ra mach Pro jek tu Doku men ta cji Linuk sa. Dwaj przykłado wi sprze daw cy to: 

Spe cia li zed Sys tems Con sul tants, Inc. (SSC) 
http://www.ssc.com/ 

P.O. Box 55549 Se at tle, W A 98155-0549 
1-206-782-7733 
1-206-782-7191 (faks) 
sales@ssc.com 
oraz 

Li nux Sys tems Labs 
http://www.lsl.com/ 

18300 Tara Drive 

Clin ton Tow ns hip, MI 48036 

1-810-987-8807 

1-810-987-3562 (faks) 

sales@lsl.com 
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Obie fir my sprze dają kom pen dia do ku men tów HO WTO i in nej do ku men ta cji do¬ 
tyczącej Linuk sa w for mie dru ko wa nej. 

0'R ei lly & As so cia tes wy da je se rię książek o Linuksie. Ni niej sza książka po wstała 
wramachProjektu Do ku men ta cji Linuk sa, ale wię k szość zo stała na pi sa na nie za le ż- 
nie. Na leżą do nich: 

Run ning Li nux (wyd. poi.: Linux, Wy daw nic two RM, War sza wa 2000) 

Prze wod nik po in sta la cji i użyt ko wa niu sys te mu, opi sujący, jak naj le piej wy ko¬ 
rzy stać kom pu ter oso bi sty, pra cując w Linuksie. 

Learning De bian GNU/Linux 

Lear ning Red HatLinux (wyd. poi. :Red Hat Linux, Wy dawnictwo RM,Warszawa2000) 
Książki bar dziej pod sta wo we niż Running Linux. Za wie rają one po pu lar ne dys¬ 
trybucje na płycie CD-ROM i informują dokładnie, jak je skonfigurować i jak 
z nich ko rzy stać. 

LinuxinNu tshelKwyd. poi.: Linux-podręcznikużytkownika/Wy dawnictwo RM, War¬ 
szawa 1999) 

Kolejna książka z doskonałej serii „podręcznik użytkownika". Daje wyczer¬ 
pujący opis po szcze gól nych po le ceń Linuk sa. 

Linux Journal and LinuxMagazine 

„Linux Journal" i „ Li nux Ma ga zi ne" to mie sięcz ni ki dla społecz no ści linuk so wej, pi¬ 
sane i wy da wa ne przez licz nych linuk so wych ak ty wi stów. Po ziom ar ty kułów jest 
bardzo różny: od pytań nowicjuszy, po odpowiedzi dotyczące programowania 
jądra. Na wet je żeli masz do stęp do grup dys ku syj nych Usene tu, te cza so pi sma są 
do sko nałym spo so bem, aby być na bieżąco ze spra wa mi społecz no ści Linuk sa. 
„Linux Journal" jest naj star szym cza so pi smem i jest wy da wa ny przez wspo mnia ne 
wcześniej SSC, Incorporated. Czasopismo to możesz ta kże zna le źć w sie ci WWW 
pod ad re semhttp://www .linuxjournal.com/ . 

„LinuxMagazine" jest nowszą, nie za le żną pu bli ka cją. Ma cie rzy sty ad res WWW te 
go cza so pi sma to http://wwiv.linuxmagazine.com/. 

Li nuk so we g ru py dys ku syj ne Usene tu 

Oto gru py dy s ku syj ne Usene tu po ś wię co ne Linuk so wi: 
comp.os.linux.announce 

Moderowana grupa dyskusyjna zawierająca zapowiedzi nowego oprogramo¬ 
wania, dystrybucji, ra porty o błęd ach i no winki z ży cia społecz noś ci Linuk sa. 
Wszy scy użytk owni cy Linuk sa po winni czy tać tę gru pę. Pro poz ycje mogą być 
wysyłane na ad res linux-announce@news.ornl.gov. 
comp.os.linux.help 

Ogól ne py tan ia i od pow iedzi na te mat in stal acji i użytków ania Linuk sa. 
comp.os.linux.admin 

Dys ku sje związane z ad min ist rowan iem sys temu Li nux. 



XVI 


Wstęp 


comp.os.Hnux. networking 

Dys ku sje związane z sie cią w Linuksie. 

comp.os.linux.development 

Dys ku sje na te mat two rzen ia jądra Linuk sa i sa mego sys temu. 
comp.os.Hnux.misc 

Inne dys kus je, któ re nie pa sują do żadn ej z po przedn ich ka teg orii. 

Ist nie je rów nież kil ka in nych grup po świę co nych Linuk so wi i pro wa dzo nych w ję- 
zy kach in nych niż an giel ski, a na leżą do nich na przykład fr.comp.os.Hnux po fran cu- 
sku czy de.comp.os.Hnux po nie mieć ku. 

Pocz to we I i sty dys ku syj ne związane z Linu k sem 

Istnieje szeregspecjalistycznych pocz to wych list dys ku syj nych na te mat Linuk sa. 
Spo tkasz na nich wie le osób, któ re chęt nie od po wiedzą na two je py ta nia. 

Naj bar dziej zna ne z nich to li sty obsługi wa ne przez uni wer sy tet Rut gers. Możesz się 
donich za pisać, wy syłając wiadomość e-mailsforma to waną w na stępujący sposób: 

To: majordomo@vger.rutgers.edu 
Subject: anything at all 
Body: 

subscribe nazwa-listy 

Ni ektóre li sty związa ne z sie cią w Linuksie to: 
linux-net 

Dys kus je związane z sie cią w Linuksie. 
linux-ppp 

Dys kus je związane z im plem enta cją PPP w Linuksie. 
linux-kernel 

Dys kus je związane z two rzen iem jądra Linuk sa. 

ElektronicznewsparcieLinuksa 

W wie lu miej scach w sie ci można uzy skać po moc elek tro niczną. Ochot ni cy z całego 
świa ta ofe rują tam swoją spe cja li styczną wie dzę i usługi tym użyt kow ni kom, którzy 
mają py ta nia i pro ble my. 

Sieć Open Pro jects IRC to sieć IRC po świę co na w całości pro jek tom otwar tym - ża¬ 
rów no Open So ur ce, jak i Open Hardwa re. Nie któ re ka nały są prze zna czo ne do udo- 
stęp nia nia elek tro nicz ne go wspar cia dla Linuk sa. IRC to skrót odbz ter net Re layChat. 
Jest to usługa sie cio wa po zwa łająca in te rak ty w nie „roz ma wiać" przez In ter net z in¬ 
nymi użytkownikami. Sieci IRC obsługują wiele kanałów, na których grupy pro¬ 
wadzą pi sa ne „roz mo wy". Co kol wiek na pi szesz na ka na le, bę dzie to wi docz ne dla 
wszy st kich pozo stałych uczest ni kó w „ roz mo wy". 

W sie ci Open Pro jects IRC ist nie je sze reg ak ty w nych ka nałów, na któ rych spo tkasz 
użyt kow ni ków przez 24 go dzi ny na dobę, 7 dni w ty go dniu. Są to użyt kow ni cy, któ- 
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rzy chcą i po tra fią po móc w roz wiąza niu two ich pro ble mów z Linuk sem al bo mogą 
po pro stu z tobą po ga dać. Z usługi tej możesz ko rzy stać po za in sta lo wa niu klien ta 
IRC, na przykład irc-II, podłączę niu się do ser we ra o za da nej na zwie, np. irc.open- 
projects.org:6667,i przyłącze niu się do ka nału #linpeople. 

GrupyużytkownikówLinuksa 

Bezpośred nią po moc of e ru je też wie le grup uży t kow ni ków Linuk sa z całego ś wia ta. 
Ich uczest ni cy an ga żują się w taką działał ność, jak or ga ni zo wa nie dni in sta la cji, se 
mi na ria i dys ku sje pa ne lo we, prezentacjeiinneimprezyto wa rzy skie. Gru py uży t 
kow ni ków Linuk sasądosko nałym sposobem na spo tka nie się z in ny mi linuk so w ca- 
mi z two je go re jo nu. Ist nie je sze reg list grup użyt kow ni ków Linuk sa. Do le piej zna¬ 
nych na leżą: 

Gro up ofLinux Users Eve rywhe re - http:lliviviv.ssc.com/gluelgro ups 
LUG list project - http://zviviv.nll gg.nl/lu gww/ 

LUG registry -http://wivw.linux.org/users/ 

Skąd wziąć Linuk sa 

Nie ma jednej je dy nej dys trybu cji opro gra mo wa nia dla Linuk sa. Ta kich dys trybu cji 
jest wie le, m.in. Debian, Red Hat, Cal de ra. Co rei. Su SE i Slac kwa re. Ka żda dys try bu- 
cja za wie ra wszyst ko, cze go po trze bu jesz do uru cho mie nia pełne go sys te mu Li nux: 
jądro, pod sta wo we programyużytkowe,biblioteki,plikipomocniczeiaplikacje. 

Dys try bu cje Linuk sa mo żna zdo być z sze re gu źró deł elek tro nicz nych, jak In ter net. 
Każda poważna dystrybucja posiada własny ośrodek FTP i WWW. Oto niektóre 
ośrodki: 

Caldera 

http://www.caldera.eom/ftp://ftp.caldera.com/ 

Corel 

http://www .corel. com/ftp://ftp xorel.com/ 

Debian 

http://www.debian. 0 rg/ftp://ftp.debian. 0 rg/ 

RedHat 

http://www.redhat.eom/ftp://ftp.redhat.com/ 

Slackware 

http://www.slackware.eom/ftp://ftp.slackware.com/ 

SuSE 

http://www.suse.eom/ftp://ftp.suse.com/ 

Po pu lar ne ar chi wa FTP również za wie rają ró żne dys try bu cje Linuk sa. Naj bar dziej 
zna ne z nich to: 

metalab.unc.edu:/pub/Linux/distributions/ 
ftp.funet.fi:/pub/Linux/mirrors/ 
tsx-ll.mit.edu:/pub/linux/distributions/ 
mirror. aarnet.edu.au: /pub/linux/distributions/ 
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Ka żda dys trybu cja za wie ra pew ne pod sta wo we biblio te ki, na rzę dzia kon figu ra cyj- 
ne, apli ka cje sys te mo we i pli ki kon fi gu ra cyj ne. Nie ste ty, róż nice po mię dzy wer sja- 
mi, nazwami i lokalizacjami po wo dują, że bar dzo trud no jest zgadnąć, co bę dzie 
w da nej dys try bu cji. A bez tej wie dzy nie da się stwo rzyć bi nar nych wer sji apli ka cji, 
które działałyby nie za wod nie we wszyst kich dys try bu cjach Linuk sa. 

Aby roz wiązać ten pro blem, po wołano no wy pro jekt o na zwie „Li nux Stan dard Ba- 
se" (standardowa pod sta waLinuksa). Jegoce lem jest opisa nie standardowej pod sta 
wydystrybucji,doktórejdostosująsię poszczególnedystrybucje.Jeżeliprogramista 
stwo rzy apli ka cję w opar ciu o stan dar dową pod sta wę, to bę dzie ona działała we 
wszel kich dys trybu cjach zgod nych ze stan dar dem. 

In form acje na te mat sta nu projektu stan dard owej pod stawy Linuk sa możesz zna leźć 
na je go stro nie ma cier zyst ej pod ad res emhttp://www. linuxbase.org/. 

Je żeli mar twisz się o zgod ność, szcze gól nie opro gra mo wa nia ko mer cyj ne go, po wi¬ 
nie neś upew nić się, czy w przy pad ku two jej dys try bu cji zo stały pod ję te kro ki pro¬ 
wadzące do zgod no ści z pro jek tern stan da ry za cyj ny m. 

0 tej książce 

Gdy Olaf dołączył do Projektu Dokumentacji Linuksa w 1992 roku, napisał dwa 
małe roz działy na te mat UUCP i smaila, któ re za mie rżał umie ścić wksiążce Sys tem 
Administrator'sGu ide. Sie ci TCP/IP za częły do pie ro po wsta wać. W mia rę ich roz wo¬ 
ju te dwa „małe roz działy" za częły się roz ra stać. Wte dy Olaf po my ślał, że byłoby 
do brze mieć prze wod nik po sie ci. Ka żdy mó wił: „Swiet ny po mysł", „zr ób to!". A 
więc wziął się do pra cy i na pi sał pierwszą wer sję prze wod ni ka po sie ci, któ ra zo stała 
wy da na we wrze śniu 1993 ro ku. 

Olaf kon ty nu ował pra ce nad prze wod ni kiem po sie ci i osta tęcz nie stwo rzył znacz¬ 
nie rozszerzoną jego wersję. Rozdział na te mat sendmaila napisał Vince Skahan. 
W tym wy da niu roz dział ten zo stał całko wi cie zmie nio ny, ze wzglę du na no wy in- 
terfejskonfiguracyjny sendmaila. 

Wer sja książki, którą czy tasz, zo stała sko ry go wa na i uak tu al nio na przez Terry'ego 
Da w so na* na ży cze nie wy da w nic twa O' Rei lly & As so cia tes. Ter ry przez 20 lat był 
ope ra torem ra dia arna tor skie go, z cze go 15 latprze pra co wał w prze my ś le te le komu- 
ni ka cyj nym. Był współau to rem do ku men tu NET-FAQ i na pi sał oraz utrzy my wał 
róż ne do ku men ty HO WTO związa ne z sie cią. Ter ry zaw sze z en tu zja zmem wspie 
rał pro jekt podręcznika ad mi ni stra to ra sie ci i do dał w ni niej szej edy cji kil ka roz¬ 
działów na najnowsze tematy, które ze zrozumiałych względów nie trafiły do 
pierwszego wydania. Dokonał też mnóstwa zmian w celu uaktualnienia całej 
książki. 

Rozdział oma wiający exim napisał Philip Ha zel**, kt óry jest głównym twórcą pa¬ 
kietu. 


** 


Z Ter rym Daw so nem mo żna się skon tak to wać pod ad re sem terry@limix.org.au . 
Z Phi li pem Ha ze lem możnaskon tak to wać się pod ad re sem phi 0@cus.cam .ac.uk. 
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Książka ta ma for mę se kwen cji kro ków, ja kie na le ży podjąć, by skon fi gu ro wać sys¬ 
tem do pracy w sieci. Rozpoczyna się omówieniem podstawowych pojęć siecio¬ 
wych, a w szcze gól no ści sie ci opar tych naTCP/IP.Następ nie ko lej no wpro wa dza 
w kon f i gu ro wa nie TCP/IPnapoziomieurządzeniakonfiguro wa nie f i re wal li, li cze 
nie ruchu IP (accounting) i maskowanie IP, wreszcie w konfigurowanie popular¬ 
nych apli ka cji, ta kich jak rlogin i tym po dob ne, sie cio we go sys te mu pli ków (NFS- 
NetworkFileSystem) oraz systemu informacji sieciowej (NIS- Network Information 
System). Da lej znaj du je się roz dział o tym, jak skon fi gu ro wać ma szy nę ja ko wę zeł 
UUCP. Większość pozostałych podrozdziałów jest poświęcona dwóm podstawo¬ 
wy m apli ka cjom, któ re działają na TCP/IP i UUCP: po czcie elek tro nicz nej i gru pom 
dyskusyjnym.Specjalny rozdział został poświęconyprotokołowiIPXisystemowi 
pli kówNCP, po nie waż są one uży wa ne w śro do wi skach kor po ra cyj nych, w któ rych 
spo ty ka się Linuk sa. 

W części omawiającej pocztę znajduje się bardziej gruntowne wprowadzenie do 
trans por tu i ru tin gu pocz ty oraz mi ria dy sche ma tów ad re so wa nia, któ re możesz na¬ 
po tkać. Opisu je ona konfiguracjęeUma i zarządza nie nim. Exim to agent trans por to- 
wy pocz ty, ide al ny tam, gdzie nie są wy ma ga ne UUCP ani tym bar dziej s endmail, 
który jest dla realizujących ruting bardziej skomplikowany, niż te obsługiwane 
przez UUCP. 

Czę ść po świę co na gru pom dys ku syj nym da je po ję cie o tym, jak działa Usenet. Oma¬ 
wia INN i C News - dwa po wszech nie uży wa ne pa kie ty opro gra mo wa nia trans por¬ 
to we go grup dys ku syj nych oraz za sto so wa nie NNTP do za pe w nie nia do stę pu do 
czytaniagrupwsiecilokal nej. Książkę za my ka roz dział na te mat sto so wa nia naj po¬ 
pu lar niej szych pro gra mów do czy ta nia grup dys ku syj nych w Linuksie. 

Oczywiście książka ta na pewno nie jest w sta nie wyczerpująco od po wiedzieć na 
wszyst kie po ten cjal ne py ta nia. Tak więc, je żeli bę dziesz po stę po wał zgod nie z in- 
struk cja mi w niej za war ty mi, a coś wciąż nie bę dzie działało, bądź cier pli wy. Niek¬ 
tóre z twoich problemów mogą wynikać z naszych błędów (zobacz podrozdział 
Zgłasza nieuwag w dal szej czę ści Wstępu ), ale mogą ta kżebyć spo wo do wa ne zmia na¬ 
mi w opro gra mo wa niu sie cio wym. Dla te go po wi nie neś spraw dzić naj pierw in for¬ 
ma cje za war te w za so bach. Ist nie jedużeprawdopodobieństwo,że nie tyl ko ty masz 
ta kie pro ble my, a więc po praw ka lub przy najm niej pro po no wa ne roz wiąza nie jest 
już być może zna ne. Je żeli masz oka zję, po wi nie neś ta kże sp ró bować zdo być naj¬ 
nowszą wer sję jądra i sie ci z jed ne go z linuk so wych ośrod ków FTP lub z po bli skie go 
BB S-u. Wie le pro blemów wy ni ka z ni er ównomiernego roz wo ju róż ne go opro gra mo¬ 
wa nia, które nie współpra cu je po praw nie ze sobą. W ko ńcu Li nux to „pra ca w to ku". 

Oficjalna wersja drukowana 

Na je sie ni 19 93 ro ku An dy Oram, któ ry pra wie od początku był związa ny z listą dys¬ 
kusyjną LDP, zaproponował Olafowi opublikowanietej książki w wydawnictwie 
O' Rei lly & As so cia tes. Był nią za chwy co ny, ale nig dy nie przy pusz czał, że odniesie 
ona taki sukces. Postanowiono, że 0'Reilly stworzy rozszerzoną oficjalną wersję 
dru ko waną prze wod ni ka po sie ci, na to miast Olaf za trzy ma pra wa au tor skie i źró dła 



Oficjalna wersjadruko wana 


XXI 


książki będą mogły być roz po wszech nia ne za dar mo. Ozna cza to, że masz wol ny 
wy bór: możesz wziąć róż ne dar mo we wer sje do ku men tu z naj bliż sze go ośrod ka lu¬ 
strzą ne go Pro jek tu Do ku men ta cji Linuk sa i wy dru ko wać je so bie al bo za ku pić ofi¬ 
cjalną wer sję dru ko waną wy daną przez 0'Reilly'ego. 

Nasuwa się py ta nie: dla cze go masz płacić za coś, co możesz mieć za dar mo? Czy 
Tim 0'Reilly po stra dał zmysły i wy da je coś, co ka żdy może sobie sam wy dru ko wać, 
a na wet sam sprze da wać?*. Czy ist nieją ja kieś róż ni ce po mię dzy ty mi wer sja mi? 

Od po wie dzi brzmią „to za le ży", „nie, zde cy do wa nie nie" i „tak i nie". 0'Reilly & 
Associa tespodej mu jery zy ko, wy dając prze wod nik po sie ci w for mie tra dy cyj nej, 
ale ja koś się im to opłaca (po pro si li autorów, by przy go to wa li na stęp ne wy da nie). 
Wie rzy my, że to przed się wzię cie jest do sko nalym przykładem te go, jak świat dar¬ 
mowego oprogramowania i firmy komercyjne mogą ze sobą współpracować, by 
stwo rzyć coś, z cze go obie stro ny czer pią ko rzy ści. Z na sze go punk tu wi dze nia wy¬ 
da w nic two O' Rei Iły przysłużyło się społecz no ści Linuk sa (nie tył ko tą książką, któ ra 
jest do stęp na w two jej księ gar ni). Dzię ki nie mu Li nux zaczął być roz po zna wa ny ja¬ 
ko coś poważnego: jako rentowna i użyteczna alternatywa dla innych, komercyj¬ 
nych sys te mówope ra cyj nych. Je żeli ja kaś księ gar nia tech nicz na w USA nie ma u sie 
bie przy najm niej jed nej półki z książka mi wy daw nic twa O' Rei Iły, to jest to kiep ska 
księgarnia. 

Dla cze go to wy dają? Uznają to za swoją spe cjal ność. Oto, cze go ocze kują, pod pi sując 
z au to ra mi kon trakt na na pi sa nie książki o Linuksie: tern po, po ziom szcze goło wo ści 
i styl mają dokładnie od po wia dać in nym wy da nym przez nich książkom. 

Ce lem li cen cji LDP jest za pew nie nie wszyst kim do stę pu do książki. Nie któ rzy mogą 
wy dru ko wać so bie tę książkę sa mi i nikt nie będziecięwi nił, je żeli z niej sko rzy stasz. 
Jed nak, je żeli nie miałeś oka zji zo ba czyć wer sji wy daw nic twa O' Rei lly, przejdź się 
do księ gar ni al bo obej rżyj książkę u ko le gi. Wy da je nam się, że spodo ba ci się to, co 
zo ba czysz, i bę dziesz chciał książkę ku pić. 

Jakie są więc różnice pomiędzy wersją dru ko waną a wersją elektroniczną? Andy 
Oram włożył wie le pra cy w to, aby prze two rzyć na sze cha otycz ne my śli w po to czy¬ 
sty wykład wart wy dru ko wa nia. (Do ko nał ta kże ko rek ty kil ku in nych książek stwo¬ 
rzonych w ramach Projektu Dokumentacji Linuksa, służąc społeczności Linuksa 
całą swoją fa chową wiedzą). 

Na re dak cji An dy' ego książka znacz nie zy skała w sto sun ku do wer sji ory gi nał nej. 
Nie mo żna było mar no wać oka zji sko rzy sta nia z usług i umie jęt no ści pro fe sjo nał ne 
go re dak to ra. Pod wie lo ma wzglę da mi pra ca And y'ego jest rów nie wa żna jak au to¬ 
rów. To samo dotyczy również redaktorów technicznych, którzy nadali książce 
obec ny kształt. W szyst kie te po pra w ki zo stały rów nież wpro wa dzo ne w wer sji elek¬ 
tro nicz nej, a więc w za war to ści nie ma róż nic. 

Jed nak wciąż wer sja wy da na przez 0'Reilly'egofrgdzie in na. Jest porządnie oprą wio¬ 
ną. Możesz mieć problemy z ładnym wydrukowaniem wersji domowej. Jest też 


Zw róć uwa gę, że choć możesz wy dru ko wać wer sję elek tro niczną, niemożesz kse ro wać książki CtR ei 11 y ego 
ani sprze da wać żad nych jej ko pii. 
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mało praw do po dob ne, abyś uzy skał zbliż oną ja kość, a je śli już - to za pew ne za du żo 
wię k sze pie niądze. Po nad to na sze ama tor skie ilu stra cje zo stały w wer sji dru ko wa- 
nej zastąpione innymigrafikami, pięknieprzygotowanymi przez profesjonalnych 
ar ty stów z wy daw nic twa O' Rei Iły. Dla wer sji dru ko wa nej przy go to wa no też nowy, 
dokład niej szy in deks, dzię ki cze mu du żo łatwiej wy szu kuje się in for ma cje. Je żeli ta 
książka jest czy mś, co za mie rzasz prze czy tac od początku do ko ńca, po wi nie neś za- 
sta no wić się nad prze czy ta niem ofi cjal nej wer sji dru ko wa nej. 

Przegląd treści 

Roz dział 1, Wprowa dze nie do sieci, oma wia hi sto rię Linuk sa i po da je pod sta wo we in- 
for ma cje o UUCP, TCP/IP, róż nych pro to kołach, sprzę cie i bez pie cze ństwie. Ko lej ne 
kil ka roz działów oma wia kon fi gu ro wa nie Linuk sa w sie ci TCP / IP i uru cha mia nie 
pod sta wo wych apli ka cji. Nie co doklad niej przygląda my się IP w roz dzia le 2 ,Wy bra- 
nepro bierny sie ciTCP/IP, za nim przej dzie my do edy cji pli ków i tym po dob nych te ma¬ 
tów. Je żeli wiesz już, jak działa ru ting IP i na czym po le ga roz wiązy wa nie ad re sów, 
możesz po minąć ten roz dział. 

Roz dział 3 ,Konfigurowali iesprzętusieciowego, omaw ia pod staw owe za gadn ienia kon- 
f ig ura cyj ne, ta kie jak two rzen ie jądra i kon f ig uro wan ie kar ty Ethernet. Kon f ig ura cja 
portów szeregowych jest przedstawiona od dzieln ie w roz dziale 4, Konfigurowanie 
urządzeńszeregowych, po nie waż ten temat nie do tyc zy je dyn ie sie ci TCP/IP, ale ma 
ta kże związek z UUCP. 

Rozdział 5, Konfigurowanie sieci TCP/IP, pomaga skonfigurować maszynę w sieci 
TCP/IP. Za wie ra wska zów ki in sta la cyj ne dla sa mo dziel nych ho stów z włączo nym 
je dy nie in ter fejsempętlizwrotnejihostówpodłączonychdosieciEthernet. Pokazu je 
ta kże kil ka przy dat nych na rzę dzi, któ rych możesz uży wać do te sto wa nia i de bu go- 
wania swojejkonfiguracji. Rozdział 6, Usługi nazewnicze i konfigurowanie resohera, 
wyją śnią, jak skon fi gu ro wać roz wiązy wa nie nazw i uru cho mić ser wer nazw. 

Roz dział 7, IP łącza szeregowego, po ka zu je, jak ze sta wić połączę nie SLIP i szcze gó Io¬ 
wo oma wia dip- na rzę dzie po zwa łające na au to ma ty za cję wię k szo ścinie zbęd nych 
kro ków. Roz dział 8, Pro tokół punkt-punkt, jest po świę co ny PPP i pppd - demonowi 
PPP. 

Roz dział 9,FireroaWTCP/IP, roz wi jaza gad nie niabez piecze ństwa sieciowe go i opisu¬ 
je fi re wali TCP/IP dla Linuk sa oraz na rzę dzia do je go kon fi gu ra c)i:ipfwadm, ipchains 
i iptables. Fi re wali IP za pew nia dokładną kon tro lę nadal tym, kto do sta je się do sie ci 
i z ja kie go ho sta. 

Roz dział 10, Liczeń ie ru chu IP, wy jaś nia, jak skon fig uro wać funk cję li czen ia ru chu IP 
w Linuksie, tak aby śle dzić, jak du ży jest ruch wy chodzący i kto go ge ner uje. 

Roz dział 11, Ma skowa nielP i trans la cja adres ów sie ciowych, oma wia własno ści spe cjal- 
ne go ty pu opro gra mowa nia sie cio we go Linuk sa zwa ne go ma sko wa niem IP, które 
po zwa la łączyć ze sobą całe sie ci IP i ko rzy stać z In ter ne tu tyl ko przy uży ciu jed ne go 
ad re su IP, tak że we w nętrz na struk tu ra sie ci sta je się nie wi docz na. 
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Roz dział 12, Ważne funkcjesieciowe, sta no wikrótkie wprowadzę nie do konfigurowa 
nia pew nych wa żniej szych apli ka cjisie cio wych, ta kich jakrlogin, ssh i tym po dob ne. 
Roz dział ten oma wia rów nież zarządza nie usługa mi przez inetd i pod po wia da, w ja¬ 
ki sp osób mo żna zwię k szyć bez pie cze ństwo pew nych usług skie ro wa nych do za¬ 
ufa nych ho stów. 

Rozdział 13, System informacji sieciowej, i rozdział 14, Sieciowy system plików, oma¬ 
wiają NIS i NFS. NIS to na rzę dzie uży wa ne do dys try bu owa nia in for ma cji ad mi ni- 
stracyjnych, takich jak hasła użytkownika w sieci lokalnej. NFS pozwala na 
współdzie le nie sys t em ów plik ów po mię dzy ho sta mi w sie ci. 

W roz dziale 15, IPX i sys tern pli ków NCP, omaw iamy prot okół IPX i sys tern pli ków 
NCP. Po zwal ają one zin teg rować Linuk sa ze śród owi ski em Novell Ne tware przez 
współdzie len ie plik ów oraz dru kar ek z ma szyn ami nie linuks owy mi. 

Rozdział 16, Zarządzanie UUCP Taylora, stanowi wyczerpujące wprowadzenie do 
ad mi ni stro wa nia UUCP Tay lo ra - dar mową im ple men ta cją UUCP. 

Po zo stałe roz działy książki szczegółowo przed sta wiają pocz tę elek tro niczną i gru py 
dys ku syj ne Usene tu. Roz dziall7,Pocztaelektroniczna,wpro wa dza w główne za gad- 
nie nia pocz ty elek tro nicz nej, ta kie jak wygląd adresów pocz to wych i spos ób, w ja ki 
sys tern obsługu je pocz tę, by do tarła do ad re sa ta. 

Roz dział 18, Sendmail,\ roz dział 19, Exim, omawiają konfigurację pro gra mów send- 
mail i exim - dwóch małych agentów transportowych, które możesz wykorzystać 
w Linuksie. Przedstawiamy oba, ponieważexżm jest łatwiejszy do zainstalowania 
dla początkujące go, asendmail obsługuje UUCP. 

Od rozdziału 20, Grupy dyskusyjne, do rozdziału 23, Internet News, wyjaśniamy 
obsługę wia do mo ści Usene tu i sposób in sta la cji i uży wa nia C News, nntpd i INN - 
trzech popularnych pakietów oprogramowania do zarządzania wiadomościami 
Usene tu. Po krótkim wpro wa dze niu w roz dzia le 20, możesz prze czy tać roz dział 21, 
C News, je żeli chcesz prze syłać wia do mo ści za po mocą C News - tra dy cyj nej usługi 
uży wa nej wraz z UUCP. Ko lej ne roz działy oma wiają no wo cze śniej sze me to dy wy¬ 
korzystujące protokół internetowy NNTP (Network News Transport Protocol). Roz¬ 
dział 22, NNTP i demon nntpd, przedstawia sposób konfiguracji prostego demona 
NNTP o na zwie nntp, który za pew nia do stęp do czy ta nia wia do mo ści w sie ci lo kal- 
nej, zaś roz dział 23 opi su je sil niej szy ser wer do bar dziej in ten sy w nych tr ans fer ów 
NetNews'ów: INN ( InterNet News). I na koniec rozdział 24, Konfigurowanie 
przeglądar ki grup dyskusyjnych, po ka zu je, jak skon fi gu ro wać różne pro gra my do czy¬ 
ta nia grup. 

Konwencjezastosowane w tej książce 

We wszyst kich przykład ach przed sta wio nych w tej książce zakłada my, że uży wasz 
powłoki, która jest kom pa ty bil na z s h. Stan dar dową powłoką wszyst kich dys try bu- 
cji Linuk sa jest bash kom pa ty bilnaz s/z. Je żeli ko rzy stasz zcs/z,bę dziesz mu siał od po- 
wied nio zmo dy f i ko wać przykłady. 
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Poniżejprzedstawiamyli stę kon wenc ji ty pog raf i cznych uży t ych w książce: 
Czcionka po chyła 

Uży wa na do oznaczenia nazw pl ików i ka talogów, pr ogramów i po lec eń, opcji 
wier sza po lec eń, ad resów e-ma il i ście żki, URL i do pod kreś lenia no wych po jęć. 

Czcionkapogrubiona 

Uży wa na do nazw ma szyn, ho stów, oś rodków, uż ytkowników i ID oraz, oka zjo- 
nal nie, do pod kre śla nia pojęć. 

Czcionka o stadej szerokoOci 

Używana w przykładach do pokazania zawartości kodu plików lub wyniku 
działaniapoleceńoraz wska zy wa nia zmień nych śro do wi sko wych i słó w klu czo- 
wych, któ re po ja wiają się w ko dzie. 

Czcionka pochyDa o staUej szerokoLci 

Używana do wskazania opcji zmień nych, słów klu czow ych albo tek stu, któ ry 
użytk ownik ma zastąpić kon kretną war toś cią. 

Czcionka pogrubiona o stadej szerokodci 

Uży wa na w przykład achdopokaza nia po le ceń lub in ne go tek stu, któ ry po wi nien 
być wpi sy wa ny przez uży t kow ni ka dosłow nie. 



Ram ka z tą ikoną za wie ra ostrze że nie. Łatwo tu o błąd, który może źle się sko ńczyć dla 
two jegosystemu lub jest trud ny od na pra wie nia. 


£& Ram ka z tą ikoną za wie ra ko men tarz do po bli skie go tek stu. 


Zgłaszanie uwag 

In for ma cje za war te w tej książce spraw dza liś my i we ry fi ko wa liś my na ty le, na ile 
by liś my w sta nie, ale pew ne rze czy mogły się zmie nić (lub my mo gliś my po pełnić 
błąd!). Będzie my wdzięcz ni za po wia do mie nie nas o wszel kich do strze żonych błęd ach 
oraz po dzie le nie się swo imi su ge stia mi co do przyszłych wy dań. Pro si my pi sać na 
adres: 

O' Rei Iły & As so cia tes, Inc. 

101 Mor risStre et 

Se ba sto poi, CA 95472 

1-800-998-9938 (w USA lub Ka na dzie) 

l-707-829-0515(międzynarodowylublokalny) 

1-707-829-0104 (faks) 
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Możesz nam ta kże wy syłać wia do mo ści elek tro nicz nie. Aby za pi sać się na li stę dys¬ 
ku syjną lub po pro sic o ka ta log, wy ślij e-ma il na ad res: 

info@oreilly.com 

Aby po pros ić o po moc tech niczną lub ko ment arz na te mat książki, wy ślij e-ma il na 
adres: 

bookquestions@oreilly.com 

Pro wad zimy wi trynę WWW dla ni niejszej książki. Znaj dują się na niej przykłady, 
er rata i pla ny przyszłych wy dań. Stro na ta znaj duje się pod ad res em: 

http:llwww.oreilly.com/catalogllinag2 

Więcej in form acji na te mat tej i in nych książek znaj dziesz w wi tryn ie WWW wy- 
dawnictwaO'Reilly: 

http://www.oreilly.com/ 

Podziękowania 

To wyda niePodręcznikaadministratorasieci jest nie mai wyłączną zasługą Ola fa i Vin- 
ce' a. Trud no do ce nić wy siłek włożony w ba da nia i na pi sa nie te go ty pu książki, je żeli 
nie zrobi się te go sa me mu. Uak tu al nia nie książki było wy zwa niem - po wa żnym, ale 
dzię ki do brej pod sta wie ta kże przy jem ny m. 

Książka wiele zawdzięcza tym, którzy poświęcili czas na jej korektę i pomogli 
usunąć wie le błędów, zar ówno tech nicz nych, jak i ję zy ko wych. W tym działaniu 
zna ko mi cie się uzu pełnia li Phil Hu ghes, John Ma cDo nald i Erik Ratc lif fe. 

Serdeczne podziękowania kie ru je my do członków ze społu re dak cyj ne go wy daw¬ 
nie twa O' Reilly, zkt óry mimie liś my przy jemnośćpra co wać. Dzię ku jemy Sa rahjane 
Shan graw, która nadała książce obec ny kształt; Maur een Demp sey, która re da go- 
wała tekst; Ro bo wi Ro ma no, Rho no wi Por te ro wi i Chri so wi Re illeyo wi, kt órzy wy¬ 
konali ry sun ki; Han nie Dy er, kt óra za pro jek to wała okład kę, Ali cii Cech, Davi do- 
wi Fu ta to i Jen ni fer Nie d herst za układ we w nętrz ny. Lar so wi Ka u fma no wi, kt ó ry 
wpadł na po mysł za miesz cze nia dr zewor ytów; Ju dy Ho er za in deks i na ko nieć Ti- 
mowiO'Reilly'emuzaod wa gę pod ję cia ta kie go pro jek tu. 

Na naszą wdzięcz ność zasłuży li też An dres Se pulveda, Wol fgang Mi cha elis Mi cha e 1 
K. John son i wszy scy pro gra miś ci, któ rzy po ś wię ci li wol ny czas na spraw dze nie in- 
for ma cji za war tych w Podręcznikuadministra torasieci. Phil Hu ghes, John Ma cDo nald 
i Erie Ratcliffe zgłosili nieocenione komentarze do drugiego wydania. Chcemy 
również podziękować wszystkim, którzy przeczytali pierwsze wydanie książki 
i przysłali po praw ki i su ge stie. Pełną, miej my na dzie ję, li stę tych osób możesz zna¬ 
le żć w pli ku Thanks w wer sji elek tro nicz nej. Osta tęcz nie ta książka nie po wstałaby 
bez wspar cia Hol ge ra Grothe go, który udo stęp nił Ola fo wi podłączę nie do In ter ne tu, 
nie zbęd ne do po wsta nia ory gi nal nej wer sji. 

Olaf chciałby również po dzię ko wać na stę pujący m gru pom i fir mom, któ re wy dru¬ 
kowały pierwsze wydanie Podręcznika administratora sieci i wsparły finansowo ża¬ 
rów no je go oso bę, jak i cały Pro jekt Do ku men ta cji Linuk sa: Li nux Support Te am. Er- 
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lan gen, Niem cy; S.u.S.E. Gm bH, Fu er th, Niem cy; Li nux Sys tem Labs, Inc., Clin ton 
Twp., USA; Red Hat So ftwa re. Północna Ka ro li na, USA. 

Ter ry dzię ku je swo jej żonie Ma g gie, kt ó ra nie stru dze nie wspie rała go w pra cy na 
rzecz Pro jek tu mi mo wy zwa nia ja kie sta wiało przed nią uro dze nie ich pierwszego 
dziecka, Jac ka. Po nad todzię kuje wieluoso bom ze społecz no ści Linuk sa, dzię ki któr ym 
osiągnął po ziom po zwa łający mu na wzię cie udziału w tym przed się wzię ciu. „Po¬ 
rno gę ci, je żeli obie casz pomóc za to ko muś in ne mu". 

Jest jesz cze wie le osób, po za już wspo mnia ny mi, które przyczyniłysiędopo wsta nia 
Podręcznikaadministra torasieci. Za po zna li się z nim i prze syłali nam po praw ki i su ge 
stie. Je ste ś my im bar dzo wdzięcz ni. 

Oto li sta tych, których działał ność po zo sta wiła ślad w na szych fol derach pocz to wych. 

Al Lon gy ear, Alan Cox, An dres Se pulveda, Ben Co oper. Ca me ron Spit zer. Co lin 
Mc Cor mack, D.J. Ro ber ts, Emi lio Lo pes, Fred N. van Kem pen, Gert Do er ing, Greg 
Han kins, Hei ko Eis s feldt, J.P. Szi ko ra,Jo han nes Stil le, Karl Ei chwal der, Les John son, 
Lud ger Kunz, Marc van Diest, Mi cha el K. John son. Mi cha el Ne bel. Mi cha el Wing, 
Mi tch D' Souza, Paul Gort ma ker, Pe ter Brou wer, Pe ter Erik s son, Phil Hu ghes, Raul 
Deluth Miller, Rich Braun, Rick Sladkey, Ronald Aarts, Swen Thiiemmler, Terry 
Daw son, Tho mas Qu inot i Yu ry Shev chuk. 




Historia 

Idea sie ci jest praw dop odo bnie tak sta ra jak sa ma ko mun ika cja. Się gnijmy do epoki 
ka mienn ej, kie dy to lu dzie używ ali bębn ów do prze syłania wia dom ości. Załóżmy, 
że ja skin iowi ec A chce za pros ić ja skin iowca B do gry w rzu can ie ka mień iami, ale 
miesz kają oni zbyt da leko od sie bie, by B usłyszał uder zenia A w bę ben. Co może 
zro bić ja skin iowi ec A? Może oni) iść do miej sca za mieszk ania B, 2) użyć wię ks zego 
bęb na lub 3) po pros ić C, kt óry miesz ka w połowie dro gi po międ zy ni mi, aby prze 
kazał ko mun ikat. Ostatnią mo żliw ość mo żna na zwa ćsiecią. 

Oczy wiś cie od czasów na szych pr zodków zmie niły się me to dy i urządzę nia służące 
ko mu ni ka cji. Obec nie ma my kom pu te ry połączo ne ze sobą zwo ja mi dru tów, świa¬ 
tło wo dami,mikrofalamiitympodobnymi;zaichpomocąumawiamysięnasobotni 
mecz piłki no żnej*. Po niż ej opi sze my, ja ki mi śród ka mi i me to da mi mo żna nakłonić 
kom pu te ry do po ro zu mie wa nia się, choć po mi nie my i dru ty, i piłkę no żną. 

W tym przewodniku opiszemy trzy typy sieci. Głównie skupimy się na sieciach 
opar tych na TCP/IP, który jest naj po pu lar niej szym ze sta wem pro to kołów sto so wa- 
nym zar ów no w sie ciach lo kał nych (Lo cal Area Ne tworks - LAN), jak i w sie ciach roz¬ 
ległych (Wide Area Networks - WAN), takich jak Internet. Przyjrzymy się również 
pro to kołom UUCP i IPX. Swe go cza su UUCP był po wszech nie uży wa ny do prze 
syłania wiadomości Usenet i poczty przez komutowane połączenia telefoniczne. 
Obecnie jest mniej po pu lar ny, ale wciąż by wa przy dat ny w pew nych sy tu acjach. Pro¬ 
tokół IPX jest uży wa ny prze wa żnie w śro do wi sku Novell Ne tWa re. Opi sze my, jak 
wy ko rzy stać go do podłączę nia ma szy ny linuk so wej do sie ci Novell. Ka żdy z wy¬ 
mienionych protokołów jest protokołem sieciowym służącym do przesyłania da- 


Co się jesz cze cza sem zda rza w Eu ro pie. 
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Roz dział 1: Wpro wad zenie do sie ci 


nych po mię dzy kom pu te ra mi. Omó wi my, jak są one uży wa ne, i po ka żerny rządzące 
nimizasady. 

Sieć de fin iuje my ja ko zb iór hostów, kt óre są w sta nie ko mu ni ko wać się ze sobą, czę¬ 
sto za pośrednictwem pewnych wy bra nych sp ośród nich hostów, kt óre rozsyłają 
dane po mię dzy uc zest ników. Ho sty to czę sto kom put ery, ale nie zaw sze - za ho sty 
mo żna uznać ta kże X ter min ale czy in tel ige ntne dru karki. Nie wielk ie zbio row iska 
hostówsąnazywanerównieżośrodkami (ang. sites). 

Komunikacja nie jest możliwa bez pew nego ro dzaju ję zyka czy ko du. W sie ciach 
kom put ero wych te ję zyki są na zy w an eprotokołami. Jed nak pro tokołu sie ciow ego nie 
po winieneś ko jar zyćz pisemnym sprawozdaniem zzebran ia. Traf niejsza jest ana lo¬ 
gia do sfor ma li zo wa nych re gul za cho wa nia obowiązujących, gdy na przykład spo¬ 
ty kają się głowy pa ństw, czy li do protokołu dy plo ma tycz ne go. Po dob ne pro tokoły 
używane w sieciach komputerowych to po prostu sztywne zasady wymiany ko- 
muni katów po międ zy dwo ma lub wię cej ho stami. 

Sieci TCP/IP 

Nowoczesne aplikacje sieciowe wymagająwyrafinowa negopodejścia do przesyła¬ 
nia da nych z jed nej ma szy ny do dru giej. Je żeli zarządzasz ma szyną z Linuk sem, z któ¬ 
rej korzysta wielu użytkowników, to może się zdarzyć, że wszyscy jednocześnie 
będą chcie li połączyć się ze zdał ny mi ho sta mi w sie ci. Po trze bu jesz więc spo so bu, 
któ ry po zwo li im współdzie lić połączę nie sie cio we bez prze szka dza nia so bie wza¬ 
jem nie. Roz wiąza nie, kt óre wy ko rzy stu je wie le współcze snych pro to kołów sie cio- 
wych,nazywane)estprzełączaniempakietów. Pakiet to mała por cja da nych, prze syłana 
przez sieć z jed nej ma szy ny do dru giej. Przełącza nie wy stę pu je w mo men cie, gdy 
datagram jest przenoszony przez do wol ne łącze w sie ci. W sie ci z prze łącza niem 
pak ietów jed no łącze jest współdzie lo ne przez wie lu uży tkowników w ten sposób, 
żeprzeztołączepa kie ty są wy sy lane ko lej no od jed ne go uży t kow nikadodru gie go. 
Roz wiąza nie, kt óre przy jęło się w wie lu sys tern ach Unix, a na stępn ie ta kże w sys¬ 
tem ach nie uniks owy ch, nosi na zwę TCP/IP. Przy omawianiu sie ciTCP/IPspo tkasz 
się z okreś leni em datagram , kt óre jest czę sto uży w ane wy mienn ie z okreś leni em pa¬ 
kiet, choć ma też inne, techniczne znaczenie. W tym pod rozdziale przyj rżymy się 
pod stawowym pojęć iom związa nym z TCP/IP. 

Wpro wad zenie do sie ci TCP/IP 

Początki TCP/IP się gają pro gra muba dawcze go fi nan so wa ne go przez ame ry ka ńską 
agen cję rządową DAR PA (De fen se Ad vanced Research Pro jectsAgency) w 1969 ro ku. 
ARP ANETbyła sie cią eks pe ry men talną, któ ra w 1975 ro ku, po la tach za ko ńczo nych 
suk ce sem ba dań, stała się sie cią ope ra cyjną. 

W 1983 roku jako standard przy jęto no wy ze staw pro to kołów o na zwie TCP/IP, 
którego miały uży wać wszyst kie ho sty w sie ci. Osta tęcz nie AR PA NET prze kształcił 
się w In ter net (sam AR PA NET prze stał ist nieć w 1990 ro ku), a ze staw TCP/ IP jest 
sto so wa ny ta kże po za nim. Wie le firm stwo rzyło kor po ra cyj ne sie ci TCP/IP, a In ter- 
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net osiągnął po ziom, w kt órym mo żna go uznać za wszech obecną tech no lo gię. Trud¬ 
no jest, czy tając ga ze tę lub cza so pi smo, nie za u wa żyć od noś ni ków do In ter ne tu - 
pra wie ka żdy ma dziś do nie go do stęp. 

Aby na sze roz wa żania o TCP/IP oprzeć na czy mś kon kret nym, we źmy ja ko przy¬ 
kład sieć uni wer sy te tu Gro ucho Marx (GMU), znaj dujące go się gdzieś w Fre dland. 
Większość wydziałów tej uczelni posiada własne sieci lokalne, jednak niektóre 
współdzielą jedną sieć, a in ne mają ich po kil ka. Wszyst kie one są połączo ne ze sobą 
i podłączo ne do In ter ne tu po przez jed no szyb kie łącze. 

Załóżmy, że twój linuk so wy kom pu ter jest podłączo ny do sie ci LAN zbu do wa nej 
z hos tów unik so wych na wy dzia le ma te ma ty ki i na zy wa sięerdos. Aby do stać się do 
ho sta, po wiedz my qu ark, na wydziale fi zyki, wpro wadzasznastępującepolecenie: 
$ rlogin quark.physics 

Welcome to the Physics Department at GMU 
(ttyq2) login: 

Po monicie wpisu jesz na zwę użytkownika, po wiedz my andres, i swo je hasło. Na¬ 
stęp nie uzy sku jesz do stęp do powłoki* kom pu te raąuark, w kt órej możesz pi sać tak, 
jak byś sie dział przy je go kon so li. Gdy wyj dziesz z powłoki, po wra casz do mo ni tu 
własnej ma szy ny. Właśnie użyłeś jed nej z na tych mia sto wych, in te rak ty w nych apli- 
ka cji, udo stęp nia nych przez TCP/IP: zdał ne go lo go wa nia. 

Gdy jesteś za logowany do ma szyny quark, możesz również uruchomić aplikację 
gra f iczną, np. pro gram pro ce so ra tek stów, pro gram do ry so wa nia czy przeglądar kę 
WWW. System X Window jest w pełni sieciowymśrodowiskiem gra ficz nym, do¬ 
stęp nym dla wie lu róż nych sys temów kom pu te ro wych. Aby po wie dzieć apli ka cji, 
że chcesz, aby na ekranie twojego hosta ukazywały się jej okna, musisz ustawić 
zmienną śro do wi skową DIS P LAY : 

$ DISPLAY=erdos.maths:0.0 
$ export DISPLAY 

Je żeli te raz uru cho misz swoją apli ka cję, skon tak tu je się ona z two im X ser we rem, 
a nie z tym działającym na quarku, i wy świe tli wszyst kie okna na two im ekra nie. 
Oczy wiście na erdosie mu si działać XII. Isto ta spra wy po le ga na tym, że TCP/IP 
pozwala quarkowi i erdosowi na wy syłanie pakietów XII w tę i z po wro tern, stąd 
masz wra że nie, że znaj du jesz się w jed nym sys te mie. Sieć jest tu nie mai prze zro czysta. 

Ko lejną bar dzo wa żną apli ka cją TCP/IP jest NFS. Jej na zwa to skrót od s lówNetwork 
File Sys tem (sie cio wy sys tern pli ków). Jest to in ny sp osób na spo wo do wa nie, by sieć 
była prze zro czy sta. NFS po zwa la na trak to wa nie hie rar chii kat alo gów z innych ho- 
stów tak, jak by były one lo kal ny mi sys te ma mi pli ków, i spra wia, że wyglądają one 
jak in ne ka talo gi na two im ho ście. Na przykład ka ta lo gi do mo we wszyst kich użyt¬ 
ków ników mogą być prze cho wy wa ne na ser we rze cen trał nym, z któ rego mogą je 
mon to wać wszyst kie ho sty w sie ci LAN. W efek cie użyt kow ni cy mogą lo go wać się 
do do wol nej ma szy ny i zna le źć się w tym sa mym ka ta lo gu. Po dob nie mo żli we jest 
współdzie le nie du żej licz by da nych (ta kich jakba zy da nych, do ku men ta cje czy apli- 


* Powłoka to in terf ejs wier sza po lec eń sys temu oper acy jnego Unix. Jest ona po dobna do mo nitu DO S-a 
w śro do wi sku Micro soft Win dows, choć ma dużo wię ks ze mo żli wo śd. 
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ka cje) przez wie le hos tów w ten sposób, że na ser we rze jest utrzy my wa na jed na ba za 
da nych, do której mają do stęp in ne ho sty. Do NF S-u po wrócimy w roz dzia le 14,Sie- 
cio wy system plików. 

Oczy wiś cie są to tyl ko przykłady te go, co możesz zro bić w sie ciach TCP/IP. Mo żli- 
wo ści są pra wie nie ogra ni czo ne i pod czas lek tu ry tej książki po znasz ich wię cej. 

Te raz przyj rzy my się bliż ej spo so bo wi działania TCP/IP. Wie dza ta po może ci zro¬ 
zumieć, jak musisz skonfigurować swój komputer i dlaczego. Rozpoczniemy od 
analizysprzętu. 

Ethernet 

Naj po pu lar niej szym ro dza jem sprzę tu w sie ci lo kal nej jest Ethernet. W naj prost szej 
po sta ci składa się z jed ne go ka bla i ho stów podłączo nych do nie go przez wtycz ki lub 
transceivery. Prosta instalacja ethernetowa jest stosunkowo niedroga, co wraz 
z prze pu sto wo ścią sie ci rzę du 10,100 czy na wet 10 00 me gabitów na se kun dę przy- 
czy niło się do du żej po pu lar no ści te go stan dar du sprz ę to we go. 

Ethernet występuje w trzech od mianach: cienki, gruby i skrętkowy. Cień ki Et her net 
i gru by Et her net wy ko rzy stują ka ble ws półosio we, które różnią się śred nicą i spo so- 
bem podłączania kabla do hosta. Cienki Ethernet wykorzystuje złącza „BNC" 
w kształcie li te ry T, kt óre wkład asz w ka bel i wkrę casz do gniaz da z tyłu kom pu te ra. 
Gruby Ethernet wymaga wywiercenia niewielkiej dziurki w kablu i podłączenia 
trans ce ive ra za po mocą „za cze pu wam pi ro we go" (ang. nampire tap). Na stęp nie do 
trans ce ive ra mo żna podłączyć ho sty (je den lub wię cej). Cień ki ka bel et her ne to wy 
może mieć mak sy mai nie 200 met rów długo ści, zaś ka bel gru by - 500; ich na zwy to, 
od po wied nio, 1 Ob ase-2 i 1 Ob ase-5. „Ba se" od no si się do mo du la cji pa sma pod sta wo- 
we go (ang. basebandmodulation ) i po pro stu ozna cza, że da ne są wy syłane do ka bla 
bez po śred nio, bez żad ne go mo de mu. Licz ba na początku ozna cza pręd kość w me 
ga bi tach na se kun dę, a licz ba na ko ńcu mak sy malną długość ka bla w set kach met¬ 
rów. Sieć skręt ko wa wy ko rzy stu je ka bel zbu do wa ny z d wó ch par drutów mie dzia¬ 
nych i zwykle wymaga dodatkowegourządzenia zwanego hubem aktywnym. Sieć 
skręt ko wa jest ta kże zna na pod nazwą lOb ase-T, gdzie „T" ozna cza skręt kę. Wer sja 
siecidziałającazprędkościąlOOmegabi tów no si na zwę lOObase-T. 

Aby do dać host do sie ci zbu do wa nej w opar ciu o cień ki Et her net, mu sisz prze rwać 
jej działanie na co naj mniej kil ka mi nut, po nie waż trze ba rozłączyć ka bel i dołożyć 
wtycz ki. Cho ciąż doda nie ho sta do in sta la cji zbu do wa nej w opar ciu o gru by Et her- 
net jest nie co bar dziej skom pli ko wa ne, zwy kle nie wy ma ga wyłączę nia sie ci. Et her- 
netopar ty na skrętce jest jesz cze mniej kłopo tli wy. Wy ko rzy stu je urządzę nie zwa ne 
hu bem. Pełni ono ro lę punk tu podłączę nio we go. Możesz dołączać ho sty do huba lub 
odłączać je bez prze ry wa nia pra cy całej sie ci. 

WieleosóbwolicienkiEthernetwmałychsieciach,ponieważjestonniedrogi. Kar ty 
PC kosz tują około 30 USD (obec nie wie le firm dosłow nie je wy rzu ca), a ka bel - kil ka 
cen tów za metr. Jed nak wdu żych instalacjach lepszy jest gru by Ethernetlub skrętka. 
Na przykład na wy dzia le ma te ma ty ki GMU pier wot nie wy bra no gru by Et her net, 
po nie waż ka bel mu siał być długi, a więc ruch nie może być zakłóć any za ka żdym ra- 
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zem, gdy do sie ci jest do da wa ny no wy host. In sta la cje skręt ko we są obec nie bar dzo 
po pu lar ne. Hu by ta nieją, a mniej sze jed nost ki mo żna do stać za ce nę, kt óra jest atrak- 
cyj na na wet dla małych sie ci do mo wych. Oka blo wa nie skręt ko we może być znacz¬ 
nie ta ń sze w przy pad ku du żych in sta la cji, a sam ka bel jest du żo bar dziej ela stycz ny 
niż ka ble ws półosio we uży wa ne w in nych ro dza jach sie ci Et her net. Ad mi ni stra to- 
rzy sie ci na wy dzia le ma te ma ty ki GMU pla nują w przyszłym ro ku fi nan so wym wy¬ 
mię nić ist niejące oka blo wa nie i urządzę nia na skręt ko we, by uno wo cze śnić sieć i za¬ 
oszczędzić czas przy instalowaniu nowych hostów i przenoszeniu istniejących 
z miej sca na miej sce. 

Jedną z wad tech no lo gii Et her net jest ogra ni cze nie długo ści ka bla, co unie mo żli wia 
jej za sto so wa nie w sie ciach in nych niż LAN. Jed nak za po mocą wz macniaków (ang. 
repeater), bry dży i rut erów mo żli we jest łącze nie ze sobą segmentów sie ci Et her net. 
Wzmac nia ki po pro stu ko piują sy gnały po mię dzy dwo ma lub wię cej seg men ta mi 
tak, że wszyst kie seg men ty działają jak by to była jed na sieć Et her net. Ze wzglę du na 
wymagania czasowe, można umieścić co najwyżej cztery wzmacniaki pomiędzy 
dwoma hostami w sieci. Brydże i rutery są bardziej inteligentne. Analizują nad¬ 
chodzące dane i przekazują je tylko wtedy, jeżeli docelowy host nie znajduje się 
w sie ci lo kalnej. 

Ethernet działa na zasadzie systemu magistralowego, gdzie host może wysyłać 
pakie ty (lub ramki ) o wiel ko ści do 1500 bajtów do in ne go ho sta w tej sa mej sie ci Et her- 
net. Host jest iden ty fi ko wa ny za po mocą sze ścio baj to we go ad re su trwa le za pi sa ne 
go w opro gra mo wa niu f ir mo wy m in ter f ej su kar ty sie cio wej E t her net (Network In ter- 
/a ce Card, NIC). Ad re sy te są z wy kle se k wen cją dwu cy fro wych liczb szes nast ko wych 
od dzie lonych dwu krop ka mi, czyli na przykład aa:bb:cc:dd:ee:f f. 

Ramkę wysyłaną przez jedną stację widzą wszystkie podłączone stacje, ale tylko 
host, dla którego jest prze zna czo na, od czy tu je ją i prze twa rza. Je żeli dwie sta cje pró¬ 
bują wysłać ram kę w tym sa mym cza sie, do cho dzi do kolizji. Ko li zje w sie ci Et her net 
są wy kry wa ne bar dzo szyb ko przez elek tro ni kę kart in ter fej su i są roz wiązy wa ne 
przez prze rwa nie wy syłania z obu sta cji, od cze ka nie przez ka żdą z nich lo so we go 
prze działu cza su i po nowną pr óbę trans mi sji. Nie raz spo tkasz się z opi nią, że ko li zje 
wEtherne ciesą próbie memiże przez nie wy korzy sta nie Ethernetu wy nosi żale dwie 
około 30 pro cent do stęp ne go pa sma. Ko li zje są zja wi skiem ty po wym dla sie ci Et her- 
net i nie po wi nie neś być za sko czo ny, zwłasz cza je śli sieć jest prze ciążona. Może ich 
być maksymalnie 30 procent. Wykorzystanie sieci Ethernet jest w rzeczywistości 
ograniczone do około 60 procent - dopiero jeżeli nie osiągniesz tej wartości, to 
możesz zacząć się mar twić*. 

Inne typy urządzeń 

W wię k szych in sta la cjach, ta kich jak na uni wer sy te cie Gro ucho Marx, Et her net zwy 
kle nie jest jedynym typem używane go sprzętu. Ist nie je wiele innych protokołów 

* Li sta py tań FAQ do tycząca Et her ne tu, kt óra znaj du je się pod ad re sem http://wyrw .faqs .org/faqs/LANs/ 
eftemet-/flq/,omawiatozagadraenie,asporyzasóbszczegółowychinformacjihistorycznychitechnicznych 
jestdostęp ny nastro niepo świę co nejEthernetowi pro wa dzo nej przez Char lesaSpurgeo na pod adresem 
http:/ iurwwhost.ots.utexas.edu/ethernet/ . 
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przesyłaniada nych, kt óre mo żna wy ko rzy sty wać. Wszyst kie wy mie nio ne po niż ej 
pro to koły są obsługi wa ne przez Linuk sa, ale ze wzglę du na ogra ni czoną ilość miej¬ 
sca przed sta wi my je skrótowo. Szczegółowy opis wie lu in nych pro to kołów znaj du je 
się w od po wied nich doku men tach HO WTO, możesz tam zaj rzec, je żeli je steś za in te 
re so wa ny po zna niem tych, których nie opi su je my w na szej książce. 
Nauniwersytecie Groucho Marx sieć LAN każdego wy działu jest podlączo na do 
szybkiej sieci szkieletowej, w której wykorzystano światłowód i technologię sie¬ 
ciową FD DI ( FiberDistribu ted Da taln terfa ce). FD DI pre zen tuje całkiem in ne po de jś cie 
do przesyłania da nych, zasadniczo po legające na wysyłaniu żetonów (ang. tokens). 
Sta cja ma pra wo wysłać ram kę tyl ko wte dy, je żeli wcze śniej od bie rze żeton. Główną 
za letą pro to kołu prze ka zy wa nia żęto nów jest zmniej sze nie licz by ko li zji. Pr ot okół 
może du żo pro ściej osiągnąć pełną pręd kość prze syłania, w przy pad ku FD DI do 100 
Mb/s. FDDI oparte na światłowodzie ma wiele zalet, ponieważ dopuszczalna 
długość ka bla jest du żo wię k sza niż w tech no lo giach wy ko rzy stujących zwykły ka¬ 
bel mie dzia ny. Li mit wy no si tu taj około 200 km, co spra wia, że FD DI zna ko mi cie na¬ 
da je się do łącze nia wie lu bud ynków w mie ście lub, tak jak w na szym przykładzie, 
wie lu bud ynków cam pu su. 

Podobnie jeżeli w okolicy znajdują się urządzę nia sie cio we fir my IBM, praw dcpo- 
dob nie za in sta lo wa no sieć IBM To ken Ring. To ken Ring jest sto so wa na ja ko al ter na- 
ty wa dla Et her ne tu w ni ekt ór ych sie ciach LAN i ma te sa me za le ty co FD DI, je śli cho¬ 
dzi o pręd kość, ale mniejszą prze pu sto wość (4 lub 16 Mb/s). Jest też ta ń sza, po nie 
waż wy ko rzy stu je ka bel mie dzia ny, a nie światłowo do wy. W Linuksie sieć To ken 
Ring jest kon fi gu ro wa na pra wie tak sa mo jak Et her net, a więc nie mu si my jej tu taj 
po ś wię cać wię cej u wa gi. 

W sie ciach lo kal nych LAN mogą być też sto so wa ne in ne tech no lo gie, ta kie jak Arc- 
Net czy DEC Net, choć obec nie już ra czej spo ra dycz nie. Li nux ró wn ież je obsługu je, 
ale nie będzie my ich tu opi sy wać. 

Wielesiecipa ństwo wych obsługi wa nych przez f ir my te le ko mu ni ka cyj ne wy ko rzy s 
tu je pro to koły przełącza nia pak ietów. Chyba naj wię kszą po pu lar no ścią cie szy się 
stan dard o na zwie X.25. Wie le sie ci pu blicz nych, ta kich jak Tym net w USA, Aust pac 
w Au stra lii i Da te x-P w Niem czech, ofe ru je tę usługę. X.25 de fi niu je ze staw pro to- 
kołów sie cio wych, któ re opi sują, jak urządzę nie będące ter mi na lem da nych, ta kie 
jak host, łączy się ze urządzeniem do przesyłania danych (przełącznikiem X.25). 
X.25 wy ma ga syn chro nicz ne go łącza da nych, a za tern spe cjal ne go syn chro nicz ne go 
portuszere gowego.MożnastosowaćX.25znormalnymiportamiszere gowymipod 
wa run kiem, że ma się spe cjal ne urządzę nie o na zwie PAD ( PacketAssem blerDisas- 
sembler). PAD jest samodzielnym urządzeniem udostępniającym synchroniczne 
i asynchroniczne porty szeregowe. Obsługuje protokół X.25, tak więc proste 
urządzenia ter mi na lo we mogąnawiązywaćiprzyjmo wać połączeniarealizo wa ne 
za po mocą te go pro to kołu. X.25 jest czę sto uży wa ny do prze syłania in nych pro to- 
kołów sie cio wych, ta kich jak TCP/IP. Po nie waż da ta gra my IP nie mogą być w pro¬ 
sty spo sób przetłuma czo ne na X.25 (lub od wrót nie), są one en kap su lo wa ne w pa kie 
tach X.25 i wy syłane przez sieć. W Linuksie do stęp na jest eks pe ry men tal na im ple 
mentacjaprotokołuX.25. 
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Nowszym pro to kołem, po wszech nie ofe ro wa nym przez fir my te le ko mu ni ka cyj ne, 
jest FrameRelay. Pod wzglę dem tech nicz nym ma on wie le wsp ólnego z pro to kołem 
X.25, ale w działaniu bar dziej przy po mi na prot okół IP. Po dob nie jak X.25, tak Fra me 
Relay wymaga specjalnego synchronicznego portu szeregowego. Stąd wiele kart 
obsługu je oba te pro to koły. Al ter na ty wą jest urządzę nie na zy wa ne Fra me Re lay Ac¬ 
cess Devi ce (FRAD) obsługujące en kap su la cję pa kie tów Et her net w pa kie tach Fra me 
Re lay na czas trans mi sji w sie ci. Fra me Re lay zna ko mi cie na da je się do prze syłania 
pakietów TCP/IP po mię dzy ośrod ka mi. Fi nux jest wy po sa żony w ste row ni ki, któ re 
obsługują pew ne ty py we w nętrz nych urządzeń Fra me Re lay. 

Je żeli po trze bu jesz szyb szej sie ci, któ ra bę dzie prze syłać wie le róż nych i nie ty po- 
wych rod za jów da nych, ta kich jak cy fro wo za pi sa ny głos i wi deo, to za pew ne za in- 
te re su je cię ATM ( Asyn chro nous Transfer Mo de). ATM jest nową tech no lo gią sie ciową, 
któ ra zo stała za pro jek to wa na tak, by za pew nić łatwe zarządza nie, dużą pręd kość, 
małe opóźnienia przy prze syłaniu da nych i kon tro lę nad ja ko ścią usług ( Qualityof 
Sernice - QS). Wiele firm telekomunikacyjnych, które liczą na usprawnienie 
zarządza nia sie cią i jej obsługi, się ga po in fra struk tu rę sie ci ATM, po nie waż po zwa¬ 
la ona łączyć wie le róż nych usług sie cio wych na jed nej piat for mie. ATM jest czę sto 
uży wa na do prze syłania pro to kołu TCP/IP. W Networking-HO WTO znaj dziesz in- 
for ma cje na te mat obsługi AT M-u przez Finuk sa. 

Często radioamatorzy wykorzystują swój sprzęt do łączenia komputerów w sieć 
-po wszech nie no sito na zwę radiapakietowego (ang. packet radio). Jed nym z pro to- 
kolów wy ko rzy sty wa nych przez nich jest AX.25, w pew nym stop niu opar ty na X.25. 
Radioamatorzy uży wają pro to kołu AX.25 do prze syłania TCP/IP, a ta kże in nych 
protokołów. AX.25, podobnie jak X.25, wymaga urządzenia szeregowego, które 
może działać w try bie syn chro nicz nym lub urządzę nia ze w nętrz ne go o na zwie Ter- 
mi nal No de Con tro 1 ler, któ re kon wer tu je pa kie ty prze syłane przez łącze asyn chro¬ 
niczne na pakiety przesyłane synchronicznie. Istnieje szereg różnych kart 
interfejsów obsługujących ra dio pa kie to we - mó wi się, że są to kar ty opar te na Z8530 
SCC. Nazwa ta od no si się do naj popular niej sze go kon tro le ra ko mu ni ka cyj ne go uży 
wa ne go do ich bu do wy. Dwa in ne pro to koły, czę sto prze syłane przez AX.25, to Ne t- 
Rom i Rosę - są to protokoły warstwy sieciowej. Ponieważ protokoły te działają 
wopar ciu o AX.25, mają te sa me wy ma ga nia sprz ę to we. Fi nux w pełni im ple men tu¬ 
je pro to koły AX.25, Ne tRom i Ro se. AX25-HOWTO jest do brym źr ódlem in for ma cji 
na te mat im ple men ta cji tych pro to kołów w Finuksie. 

Do stęp do In ter ne tu mo żna ró wnież uzy skać po przez połączę nia ko mu to wa ne do 
sys te mu cen trał ne go ko rzy stające z wol nych, ale ta nich łączy sze re go wych (te le fon, 
ISDN i tym podobne). Wymagają one jeszcze innych protokołów przesyłania 
pakietów, ta kich jak SFIP czy PPP. Opi sze my je później. 

Protokółinternetowy(IP) 

Za pew ne szczy tern two ich ma rżeń nie jest sieć opar ta na jed nym połączę niu et her- 
ne to wym lub ty pu punkt-punkt. Ide al nie byłoby, gdy byś mógł łączyć się z ho stem 
bez względu na to, jakiego typu łączem fizycznym jest podłączony do sieci. Na 
przykład w du żych in sta la cjach, ta kich jak na przykład o wym uni wer sy te cie Gro ucho 
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Marx, zwykle masz kilka oddzielnych sieci, które są w pewien sposób ze sobą 
połączo ne. Wy dział ma te ma ty ki ma dwie sie ci Et her net, jedną z szyb ki mi ma szy na¬ 
mi dla profesorów i absolwentów, a drugą z wol ny mi kom pu te ra mi dla studentów. 
Obie są podłączo ne do szkie le to wej sie ci FD DI w cam pu sie. 

Połączenie to jest obsługiwane przez dedykowany host zwa ny gatewayem, który 
obsługu je nad chodzące i wy chodzące pa kie ty, ko piując je mię dzy dwo ma Et her ne 
ta mi i ka blem optycz nym w sie ci FD DI. Na przykład gdy byś był na wy dzia le ma te 
ma ty ki i chciałbyś do stać się ze swo je go Linuk sa do kom pu te ra quark na wy dzia le 
fi zy ki, opro gra mo wa nie sie cio we nie wysłałoby pakietówbez po śred nio do kom pu- 
te ra quark, po nie waż nie znaj du je się on w tym sa mym seg men cie Et her net. W tym 
wypadku jako przekaźnik zostanie wykorzystany gateway. Gateway (o nazwie 
sophus) prze ka zu je te pa kie ty po przez sieć szkie le tową do ga te waya niels na wy- 
dzia le fi zy ki. Do pie ro niels do star cza je do do ce lo wej ma szy ny. Przepływ da nych 
pomiędzykomputeramierdos i quarkpo kazanonarysunkul-1. 



Taki sposób przekazywania danych do zdalnego hosta nazywa się rutowaniem , 
a w tym kon te kś cie pa kie ty czę sto są na zy wa n edatagramami Aby upro ścić opi saną 
procedurę,wymianędatag ramów nie za le żnie od sto so wa nych urządzeń, po wie rza 
się zaw sze te mu sa me mu pro to kołowi, który no si na z węprotokołu in ternetowego (In¬ 
ternet Pro tocol-lP). W roz dzia le 2, Wy braneproblemy sieciTCP /IP, opisze my bar dziej 
szc ze gółowo zarówno IP, jak i ru ting. 
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Główną za letą IP jest to, że prze kształcą on fi zycz nie ró żne od sie bie sie ci w jedną, 
stuprocentowo homogeniczną sieć. Na żywa się to współdziałaniem między siecio¬ 
wym (ang. internetworking) , a uzy ska na „me ta sieć" to internet. Zw róć tu taj uwa gę na 
sub teiną róż nicę po mię dzy na zwa mi „in ter net" a „In ter net" .Ta ostat nia to na zwa 
własna kon kret ne go in ter ne tu o glo bal nym za się gu. 

Oczy wiś cie IP wy magatakżeniezależnegoodsprzętuschematuadreso wa nia. Ta ki 
sche mat to uni kal ny 32- bi towy nu mer przy pi sy wa ny ka ż de mu ho sto wi, zwa nyad¬ 
resem IP. Ad res IP ma zwy kle po stać czte rech liczb dzie sięt nych, od dzie lo nych krop 
ka mi, po jed nej licz bie na ka żdy 8-b it owy seg ment. Na przykładąuark mógłby mieć 
ad res IP o po sta ci 0x954C0C04,którybyłbyzapisanyjakol49.76.12.4. For mat ten jest 
również na zy wa ny krop kową no ta cją dziesiętną (ang. do tteddecimal nota tioń), a cza sem 
kropkowąnota cją czwórkową (ang. dottedąuadnotation). Dla adresów IP co raz czę ściej 
spotyka się nazwę IPv4 (od Internet Protocol Version 4), ponieważ nowy standard 
o na zwie IPv6 ofe ru je du żo bar dziej ela stycz ny spo sób ad re so wa nia oraz in ne, no¬ 
woczesne własności. Ale minie co najmniej rok od wydania tej książki, zanim 
wejdzie on w ży cie. 

Za pew ne już za uwa żyłeś, że ma my te raz trzy różne ty py ad resów: pierw szy to na¬ 
zwa ho sta, jakqu ark, na stęp nie ad res IP i jesz cze ad re sy sprz ę to we, ta kie jak 6-ba jt a 
wy ad res et her ne to wy. Wszyst kie te ad re sy w pe wien sp osób muszą do sie bie pa so- 
wać, tak że by po na pi sa niu rlogin ąuark, opro gra mo wa nie sie cio we mogło po dać ad¬ 
res IP kom pu te ra qu ark, a na stęp nie zna le źć ad res et her ne to wy od po wia dający ad- 
re so wi IP, wte dy gdy IP do star czy już da ne do sie ci Et her net na wy dzia le fi zy ki. 

Sy tu ację tę omówimy w roz dzia le 2. Te raz wy star czy za pa mię tać, że wy szu ki wa nie 
adresów jest nazywane albo rozwiązywaniem nazwy hosta, jeśli dotyczy zamiany 
nazw hostów na ad re sy IP, al bo rozwiązywaniemadresów, je śli ma nastąpić za mia na 
tych dru gich na ad re sy sprz ę to we. 

IP w łączach sze re go wych 

W łączach szeregowych obowiązuje standard znany jako SLIP (Serial Linę IP - 
protokół in ter ne to wy łącza sze re go we go). Zmo dy fi ko wa na wer sja SLIP, zna na pod 
nazwą CSLIP ( Compressed SLIP - SLIP z kom pre sją), kom pre su je nagłów ki IP, co po¬ 
zwą la lepiej wy korzy stać relatywnie małą prze pusto wośćcechującąwiększośćłączy 
szeregowych.InnymprotokołemszeregowymjestPPP (Point-to-PointProtocol- pro¬ 
tokół punkt-punkt). PPP jest bardziej nowoczesny, niż SLIP i posiada różne właś¬ 
ciwo ści, kt óre sta no wią o je go większej atrak cyj ności. Je go główną za letą w sto sun ku 
do SLIP jest to, że nie ogra ni cza się do prze syłania datagramów IP, ale jest za pro jek- 
to wa ny tak, by mo żna było przez nie go prze syłać do wol ny pr oto kół. 

Protokół kon tro I i trans mi sj i (TCP) 

Wy syłanie datagramów z jed ne go ho sta do in ne go to nie wszyst ko. Je żeli za lo gu jesz 
się do quarka,bę dziesz chciał mieć nie za wod ne połączę nie po mię dzy two im pro ce 
sem rlogin na erdosie a pro cesem powłoki naquarku. Tak więc informacja wy słana 
tam i z powrotem musi być podzielona na pakiety przez nadawcę i ponownie 
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połączo na w ciąg znaków przez od bior cę. Choć wy da je się to try wiał ne, jest jed nak 
czyn no ścią dość złożoną. 

Na le ży pa mię tać, że IP jest z założę nia pro to kołem za wod nym. Załóżmy, że dzie sięć 
osób w twojej sie ci Ethernet rozpoczęło pobiera nie najnowszej wersji kodu źród¬ 
łowego przeglądarki Netscape z serwera FTP na leżące go do przykład o we go uni- 
wer sy te tu. Wy ge ne ro wa ny w ten sposób ruchmożebyćzadużydlagate waya, który 
jest za wol ny, i ma za mało pa mię ci. Je żeli te raz zda rzy się, że wy ś lesz pa kiet doąuarka, 
sophusowi może za braknąć przez chwi lę miej sca na bu fo ro wa nie i nie bę dzie w sta¬ 
nie prze ka zać two je go pa kie tu. W tej sy tu acji IP po pro stu gu bi pa kiet, kt ó ry zni ka 
bez pow rot nie. Dla te go to ko mu ni kujące się ho sty są od po wie dział ne za spraw dze 
nie in te grał no ści i kom piet no ści da nych oraz ich po nowną trans mi sję w przy pad ku 
błędu. 

To za da nie jest re ali zo wa ne przez in ny pr otokół - TCP (Trans mis sion Con troi Pro to- 
col), któ ry jest nie za wodną usługą po nad IP. Istotną własno ścią TCP jest to, że uży wa 
on IP, by dać ci wra że nie pro ste go połączę nia po mię dzy dwo ma pro ce sa mi, od po- 
wied nio na two im ho ście i zdał nej ma szy nie, a więc nie mu sisz mar twić się o to, jak 
i którędy są w rze czy wi sto ści prze syłane two je da ne. Połączę nie TCP działa w rze¬ 
czywistości jak dwukierunkowy potok, do którego oba procesy mogą zapisywać 
i od czy ty wać. Do bra jest tu ana lo gia do roz mo wy te le fo nicz nej. 

TCP iden ty fi ku je punk ty ko ńco we każdego połączę nia po ad re sach IPd wóch komu- 
ni kujących się hostów i nu me rach portów na ka żdym z nich. Por ty mogą być po strze 
gane jako punkty zaczepienia połączeń sieciowych. Gdybyśmy wrócili do przy¬ 
kładu z roz mową te le fo niczną, to mo żna so bie wy obra zić, że ho sty to mia sta, zaś ad- 
re sy IP to nu me ry kie run ko we (gdzie nu me ry od wzo ro wują mia sta), a nu me ry por¬ 
tów to konkretne numery lokalne (gdzie numery odwzorowują indywidualne 
nu me ry te le fonów). Po je dyn czy host może re ali zo wać wie le róż nych usług, roz po¬ 
zna wanych po nu me rze por tu. 

W przykładzie rlogin, aplikacjaklien ta (rlogiń) otwie ra port na ho ścieerdos i łączy się 
z por tern 513 ho staąuark, na którym nasłuchu je ser wer rlogind. W ten sposób zo sta je 
na wiąza ne połączę nie TCP. Za po mocą te go połączę nia rlogind prze pro wa dza pro¬ 
ce du rę au to ry za cji, a na stęp nie uru cha mia powłokę. Standar do we we jś cie i wy jś cie 
powłoki są przekierowywane na połączenie TCP, a więc wszystko, co napiszesz 
w aplikacji rlogin na swojej maszynie, zostanie przekazane przez strumień TCP 
i poda ne powłoce ja ko standar do we we jś cie. 

Protokół datagra mów użytkowni ka (UDP) 

Oczywiście TCP nie jest je dy nym pro to kołem użytków ni kaw sie ci TCP/IP. Choć 
jest od po wied ni dla apli ka cji ta kich jak rlogin, je go złożoność unie mo żli wia wy ko¬ 
rzy sta nie go w apli ka cjach, ta kich jak NFS, które z ko lei uży wają brat nie go pro to- 
kołu-UDP ( User DafayramProfoco/-protokółdatagramówużytkownika). Podobnie 
jak TCP, UDP po zwa la apli ka cji na łącze nie się z usługą na pew nym por cie zdał nej 
ma szy ny, ale bez ze sta wia nia połączę nia. Mo żna go wy ko rzy stać do wy syłania po¬ 
je dyn czych pa ki etów do do ce lo wej usługi - stąd na zwa. 
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Załóżmy, że chcesz po pro sic o nie wielką por cję da nych z ser we ra baz da nych. Ze sta¬ 
wienie połączenia TCP wymaga co najmniej trzech datagramów, kolejne trzy są 
potrze b ne do wysłania i po twier dze nia nie wiel kiej por cji da nych w ka żdą stro nę, 
a na stęp ne trzy do za mknię cia połączę nia. UDP obsłuży ta kie połączę nie za po mocą 
tył ko dwó ch dat agramów, a efekt ko ńco wy bę dzie ta ki sam. UDP jest pro to kołem 
bez połączeniowym i nie wy ma gazę sta wiania i za my kania sesji. Po pro stu umiesz¬ 
cza my da ne w da ta gra mie i wy syłamy go do ser we ra - ser wer przy go to wu je od po¬ 
wie dź, umiesz cza da ne w da ta gra mie za adre so wa nym zwrot nie (do nas) i prze syła 
go z po wro tern. Choć w przy pad ku pro stych trans ak cji UDP działa szyb ciej i bar¬ 
dziej efek tyw nie niż TCP, nie re agu je na gu bie nie da tag ramów. Dbałość o kom plet- 
ność da nych po zo sta wia się apli ka cji, na przykład apli ka cji ser we ra nazw. 

Więcej na te mat portów 

Por ty mo żna trakto wać ja ko punk ty za cze pie nia połączeń sie cio wych. Je żeli aplikacja 
chce udo stęp nić jakąś usługę, podłącza się sa ma do por tu i cze ka na klientów (czę sto 
na zy wa się to nasłuchiwaniem na por cie). Klient, który chce sko rzy stać z tej usługi, 
alo ku je port na swo im ho ście lo kał nym i podłącza się do por tu ser we ra na ho ście 
zdał nym. Ten sam port może być otwar ty na wie lu róż nych ma szy nach, ale na ka ż dej 
ma szy nie tył ko je den pro ces może otwo rzyć port w da nej chwi li. 

Istotną własno ścią port ów jest to, że gdy zo sta nie usta no wio ne połączę nie po mię dzy 
klientem a serwerem, inna kopia serwera może podłączyć się do portu serwera 
i ocze ki wać ko lej nych kl ien tów. Ta właściwość po zwa la na przykład na kil ka jed no- 
cze snych zdał nych lo go wań do te go sa me go ho sta wy ko rzy stujących port 513. TCP 
jest w sta nie roz różnić te połączę nia, po nie waż przy chodzą one z różnych portów 
lub hostów. Je żeli za logu jesz się dwu krotnie zerdosa do ąuarka, pierw szy klientr/o- 
gin wy ko rzy sta port lo kal ny 10 23, a dru gi port 1022. Jed nak oba podłączą się do te go 
same go por tu 513 ho sta quark. Te dwa połączę nia będą rozróżniane po przez nu me 
ry po rt ów na erdosie. 

W po wy ż szym przykładzie uży to por tów ja ko miej sca spo tka nia - klient kon tak tu je 
się z okre ślo nym por tern, by uzy skać daną usługę. Aby klient wie dział, z ja kim nu- 
me rem por tu ma się kon tak to wać, ad mi ni stra to rzy obu systemów muszą uzgodnić 
przy pi sa nie nume rów port ów. W przy pad ku po pu lar nych usług, ta kich jak rlogin , 
nu me ra mi ty mi ad mi ni stru je cen trał nie or ga ni za cja IETF (In ternetEngineeringTask 
Force), któ ra re gu lar nie pu bli ku je RFC o na zwieAssignedNumbers (RFC-1700). Do¬ 
kument ten zawiera między innymi numery portów przypisane dobrze znanym 
usługom. Fi nux wy ko rzy stu je plik o na zwie /etc/services, kt óry ko ja rzy na zwy usług 
znumeramiportów. 

War to za uwa żyć, że choć zar ówno połączę nia TCP, jak i UDP opie rają się na por¬ 
tach, to ich nu me ry nie kłócą się ze sobą. Ozna cza to, że na przykład port 513 TCP 
różni się od por tu 513 UDP. W rze czy wi sto ści por ty te działają ja ko punk ty do stę pu 
dla dwóch różnych usług: rlogin (TCP) i rwho (UDP). 
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Bibliotekasocket 

W unik so wych sys te mach ope ra cyj nych opro gra mo wa nie re aliz ujące wszystkie za¬ 
dań ia i obsługujące opi sa ne po wyż ej pro tokoly jest zwy kle czę ścią jądra. Po dobn ie 
jest w Linuksie. Naj po pular niej szym inter fejsem pro gram owa nia w świec ie Unik sa 
jestbibliot eka Berkeley Socket. Jej na zwa wy wod zi się z po pul arnej anal ogii, w któr ej 
port jest po strze gany ja ko gniazdo, a podłącza nie się do por tu - ja ko włącza nie do 
gniazda. Bi bliot eka udostępnia wy wołanie bind, w którym po daje się zdał ny host, 
protokół trans port owy i usługę, do której pro gram może się podłączyć lub której ma 
na słuchiw ać (za po mocą connect, listen i accept). Bi bliot eka socket jest nie co bar dziej 
ogól na, po niew aż udos tępnia nie tył ko kła sę gniazd opart ych na TCP/IP (gniaz da 
AF_INET), ale także klasę, która obsługuje połączenia lokalne do ma szyny (klasa 
AF_UNIX). Niektóre implementacje mogą także obsługiwać inne klasy, takie jak 
protokół XNS (XeroxNetworkingSystem) lub X.25. 

W Linuksie biblioteka socket jest częścią standardowej biblioteki lib C. Obsługuje 
gniazda AF_INET i AF_INET6 dla TCP/IP oraz AF_UNIX dla gniazd domeny 
Uniksa. Obsługuje równ ież gniaz da AF_IPX dla pro tokołów sie ci Novell, AF_X25 
dla protokołu sieci X.25, AF_ATMPVC i AF_ATMSVC dla pro tokołów sie ci ATM 
i AF_AX25, AF_NETROM i AF_ROSE dla pro tokołów radia amatorskiego. Inne ro¬ 
dziny pro tokołów są w trak cie two rzen ia i będą stop nio wo dodawane. 

Sieci UUCP 

UUCP ( Unix-to-Unix Co py Pro gram -pro gram ko piujący mię dzy sys te ma mi unik so- 
wymi) był pakietem programów, które przesyłały pliki po łączach szeregowych, 
rozplanowywały te przesłania w czasie i inicjowały wykonywanie programów 
w zdał nych ośrod kach. Od cza su pierw szej im ple men ta cji, pod ko nieć lat sie dem- 
dzie siątych, UUCP znacz nie się zmie niło, cho ciąż za kres ofe ro wa nych usług po zo¬ 
stał niewielki. UUCP stosuje się głównie w sieciach rozległych (WAN), opartych 
ookresowouruchamianełączakomuto wa ne. 

UUCPstwo rzo no w Bell La bo ra to ries w 19 77 ro ku w ce lu za pew nie nia ko mu ni ka cji 
pomiędzy ośrodkami programistycznymi pracującymi pod Uniksem. W połowie 
1978 ro ku sieć łączyła już po nad 80 oś rodków. Działała w niej pocz ta elek tro nicz na 
oraz zdał ne dru ko wa nie. Jed nak pod sta wo wym za sto so wa niem sys te mu była dys¬ 
trybucja nowego oprogramowania i poprawianiebłędów. Obecnie UUCP nie jest 
ogra ni czo ne wyłącznie do śro do wi ska Unix. Ist nieją dar mo we i ko mer cyj ne wer sje 
dla wie lu in nych piat form, ta kich jak Ami ga OS, DOS i Ata ri TOS. 

Jedną z głównych wad sie ci UUCP jest to, że działają one wsa do wo. Za miast stałego 
połączenia pomiędzyhostami, wykorzystują połączę nia tym cza sowę. Host UUCP 
może połączyć się z in nym ho stem UUCP tył ko raz dzień nie i to na krótko. W cza sie 
trwa nia połączę nia prze syła wszyst kie gru py dys ku syj ne, pocz tę i pli ki, któ re znaj¬ 
dują się w kolejce, a na stęp nie się rozłącza. To właśnie konieczność ko lej ko wania 
ogranicza różnorodność zastosowań UUCP. W przypadku poczty elektronicznej, 
użyt kow nik może przy go to wać wia do mość e-ma il i wysłać ją. Bę dzie ona ocze ki wać 
w ko lej ce na ho ście UUCP, aż za dzwo ni on do in ne go ho sta, by przesłać wia do mość. 
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Jest to do przy ję cia w przy pad ku usług sie cio wych ta kich jak pocz ta elek tro nicz na, 
ale nie na da je się dla in nych usług, na przykład rlogin. 

Po mi mo tych ogra ni czeń, wciąż na świe cie ist nie je wie le sie ci UUCP utrzy my wa- 
nych głównie przez hobbystów, którzy ofe rują pry wat nym użyt kow ni kom do stęp 
do Internetu za rozsądną cenę. Głównym powodem długotrwałej popularności 
UUCP była jej atrak cyj ność ce no wa w po ró wnaniu z bez po śred nim podłączę niem 
do In ter ne tu. Aby zro bić z two je go kom pu te ra wę zeł UUCP, po trze bu jesz je dy nie 
mo de mu, działającej im ple men ta cji UUCP i in ne go węzła UUCP, który bę dzie chciał 
przyj mo wać twoją pocz tę i gru py dys ku syj ne. Wie le osób chęt nie obsługi wało ruch 
UUCP dla indywidualnychużytkowników,ponieważ takie połączenia nie zakłó¬ 
cały zbyt nio pra cy ich sie ci. 

Konfigurację UUCP omawiamy w jednym z dalszych rozdziałów książki, choć 
czyni my to skrótowo, gdyż pro tokół ten jest obec nie wy pie ra ny przez TCP / IP. Do stęp 
do In ter ne tu jest po wszech ny i nie sta no wi próbie mu w wię k szo ści zakątk ó w świa ta. 

Sieć w Linuksie 

Linux, który powstaje wspólnym wysiłkiem programistów z całego świata, nie 
byłby mo żliwy bez sie ci glo baln ej. Nie ma więc nic dziw nego w tym, że od sa mego 
początku pra cow ano nad za pewn ieni em mu zdol noś ci sie ciow ych. Im plem enta cja 
UUCP działała już w pierwszych wersjach Linuksa, a pra ce nad sie cią opartą na 
TCP/IP rozpoczęły się jesienią 1992 roku, kiedy Ross Biro wraz z grupą progra¬ 
mistów stwo rzyli to, co te raz jest zna ne pod nazwą Net-1. 

Po Ros sie, któ ry od szedł w ma ju 19 93 ro ku, pra cę nad nową im plem enta cją kon ty- 
nu ował Fred van Kem pen, prze pis ująć główne czę ści ko du. Pro jekt ten był zna ny ja¬ 
ko Net-2. Pierw sza pu bliczna wer sja, Net-2d, zo stała udos tępni ona w le cie 19 93 ro ku 
(ja ko czę ść jądra 0.99.10) i od te go cza su była utrzym ywa na i roz wij ana przez kil ka 
osób, a przede wszyst kim przez Alana Coxa*. Oryg ina lne pra ce Alana były zna ne 
pod nazwą Net-2D eb ugged, gdyż uwol nił on kod od wie lu błędów i wpro wa dził 
licz ne udo sko na le nia. Od wer sji 1.0 Linuk sa kod sie cio wy Ala na no sił na zwę Net-3. 
Kod ten był da lej roz wij any w Linuksie 1.2 i 2.0. Jądra 2.2 i now sze wy kor zyst ują 
wer sję Net-4, która po zos taje stan dard em do chwi li obecn ej. 

Kod sie cio wy Linuk sa Net-4 ofe ru je róż no rodne ste row ni ki urządzeń i za awan so¬ 
wa ne własno ści. Do stan dar do wych pro to kołów Net-4 za li czają się: SLIP i PPP (do 
prze syłania da nych przez łącza sze re go we), PLIP (dla łączy równoległych), IPX (dla 
sie ci kom pa ty bil nych z Novel lem, które omówi my w roz dzia le 15, IPX i sys tem pli¬ 
ków NCP), Ap ple talk (dla sie ci Ap ple) i AX.25, Ne tRom i Ro se (dla sie ci ra dio arna tor- 
skich). Inne stan dar dy obsługi wa ne przez Net-4 to: fi re wal le IP, li cze nie ru chu IP 
(oma wia ne w roz działach 9il0)imasko wa nie IP (oma wia ne w roz dzia le 11 ,Ma sko 
wa nieIPi trans la cja adres ów sie cio wych ). Za awan so wa ne al go ryt my ru tin gu i tu ne Io¬ 
wa nie IP są obsługi wa ne na kil ka mo ż li wych sp oso bów. WNet-4 za war to ste row ni- 


Do Alana mo żna pi sać na ad res alan@lxorguk.ukuu.org.uk. 
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ki dla sze re gu urządzeń Et her net, a ta kże dla FD DI, To ken Ring, Fra me Re lay i ISDN 
oraz ATM. 

Ponad to ist nie je tu wie le in nych właściwo ści, które znacz nie roz sze rzają ela stycz- 
noś ć Linuk sa. Na leżą do nich im ple men ta cja sys te mu pli ków SMB, która współdziała 
z takimi aplikacjami, jak lanmanager i Microsoft Windows, oraz implementacja 
Novell NCP ( NetWareCoreProtocol )*. 

Różne ścieżki rozwoju 

W różnych okresach w różnych kierunkach rozwijanooprogramowanie sieciowe 
dlaFinuksa. 

Po uzna niu Net-2D eb ugged za im ple men ta cję sie ci, Fred nadal pra co wał nad kodem 
sieciowym. Wre zul tacie po wstała wersjakoduonazwieNe t-2e, która charakteryzo¬ 
wała się dużo lepiej przemyślaną konstrukcją warstwy sieciowej. Fred chciał też 
ustandary zowaćinterfejssterownikówurządzeńfDezuceDnuer fu fer/ace - DDI), ale 
pra ce nad Ne t-2e za ko ńczo no. 

In na im ple men ta cja sie ci TCP/IP po cho dzi od Mat thia sa Urlichsa, który na pi sał ste 
row nik ISDN dla Finuk sa i Fre eBSD. W tym ce lu zin te gro wał on czę ść ko du sie cio- 
we go BSD z jądrem Linuk sa. Pro jekt ten również nie jest roz wi ja ny. 

Wie le się zmie niło w im ple men ta cji sie ci w jądrze Linuk sa, i wciąż się zmie nia. Cza¬ 
sem ozna cza to, że zmia ny muszą wystąpić ta kże w in nym opro gra mo wa niu, ta kim 
jak na rzę dzia do kon fi gu ra cji sie ci. Choć nie jest to obec nie tak du żym pro ble mem 
jak niegdyś, jednak wciąż może się zdarzyć, że jeśli zainstalujesz nowszą wersję 
jądra, to na rzę dzia do kon fi gu ra cji sie ci rów nież będą wy ma gały uak tu al nie nia. Na 
szczę ście w wię k szo ści obec nych dys trybu cji Linuk sa jest to pro ste za da nie. 

Implementacja sieci Net-4 jest produktem w pełni dopracowanym, stosowanym 
w bardzo wielu ośrodkach na całym świecie. Wiele wysiłku włożono w poprawę 
wy daj no ści im ple men ta cjiNet-4 i te raz może ona kon ku ro wać z naj lep szy mi im ple 
mentacjami do stęp ny mi dla da nych piat form sprz ę to wych. Li nux cie szy się co raz 
większymwzięciemwśrodowiskudostawcówInternetu,gdzie częstojestuży wany 
do tworzenia tanich i niezawodnych serwerów WWW, serwerów pocztowych 
i serw er ów grup dys ku syj nych dla te go ty pu or ga ni za cji. Obec nie za in te re so wa nie 
roz wo jem Linuk sa jest na ty le du że, że wszyst kie zmia ny w tech no lo gii sie cio wej 
znaj dują swo je od zwier cie dle nie w ko lej nych wer sjach jądra, a je go naj now sze wer¬ 
sje ofe rują ja ko stan dard ko lejną ge ne ra cję pro to kołu IP IPv6. 

Skąd wziąć kod 

Dzi siaj wy da je się dziw ne, że w początkach roz wo ju ko du sie cio we go Linuk sa stan- 
dar do we jądro wy ma gało ogrom ne go pa kie tu po pra wek do dające go obsługę sie ci. 
Obec nie obsługa sie ci jest uwzglę d nio na w głównym jądrze Linuk sa. Ostat nie sta bil- 
ne jądra Linuk sa mo żna zna le źć w ośrod kuftp.kernel.org w ka ta lo gu/pub/linux/ker- 
nel/v2.x/, gdzie x jest liczbą parzystą. Najnowsze eksperymentalne wersje jądra 


* NCP jest pro tokołem, na któ rym oparte są sys tem pli ków i usługi dru kow ania w Novel lu. 
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Linuk sa mo żna zna le źć w ośrod kuf tp .kernel.org w ka ta lo gu /pu b/linux/kernel/v2 .y/, 
gdzie y jest liczbą nie pa rzystą. Na całym świe cie znaj dują się ser we ry lu strza ne z ko¬ 
dem źr ódłowym jądra Linuk sa. Trud no so bie obec nie wy obra zić Linuk sa bez stan- 
dar do wej obsługi sie ci. 

Utrzymywanie systemu 

W ni niej szej książce będzie my mówić głównie o in sta la cji i kon fi gu ra cji. Jed na kże 
administracjajestczymświęcej-po skon figurowaniu usługi musisz także pilnować, 
by działała. Wię k szość usług nie wy ma ga zbyt wiel kiej uwa gi, ale przy niektórych, 
ta kich jak pocz ta i gru py dys ku syj ne, mu sisz wy ko ny wać ru ty no we czyn no ści, by 
twój sys tern był spraw ny. Za da nia te omówimy w ko lej nych roz działach. 

Ab solutnymminimumniezbędnymdopoprawnegofunkcjonowaniasystemujest 
re gu lar ne spraw dza nie plików log sys te mu oraz plików log ka ż dej apli ka cji w ce lu 
wy kry cia błęd ów czy nie ty po wych zda rżeń. Zwy kle pi sze się w tym ce lu skryp ty 
ad mi ni stra cyj ne i co ja kiś czas uru cha mia się je z usługi cron. • ródlowe dys trybu cje 
nie któ ry ch wię k szych apli ka cji, ta kich jak inn czy C News, za wie rają ta kie skryp ty. 
Mu sisz tyl ko do pa so wać je do s wo ich po trzeb. 

Wy nik wszel kich za dań wy ko ny wa nych przez usługę cron po wi nien być wy syłany 
pocztą elek tro niczną na kon to ad mi ni stra cyj ne. Do my śl nie wie le apli ka cji wy syła 
ra por ty o błęd ach, sta ty sty ki wy ko rzy sta nia czy stresz cze nia plików log na kon toro- 
ot. Ma to sens tyl ko wte dy, je żeli czę sto lo gu jesz się ja ko root . Du żo le piej jest prze 
kazywać pocztę użytkownika root na własne konto, ustawiając alias pocztowy 
według opi su w roz dzia le 19, Exim, lub roz dzia le 18, Sendmail. 

Choćbyśskonfigurował swój ośro dek z naj wię kszą dbałością, zgod nie z pra wa mi 
Mur ph y'ego i tak wystąpija kiś pro blem. Dla te go utrzy my wa nie sys te mu ozna cza ta¬ 
kże przyj mo wa nie skarg. Zwy kle lu dzie spo dzie wają się, że z ad mi ni stra to rem sys- 
te mu mo żna skon tak to wać się pocztą elek tro niczną pod ad re sem root, ale ist nieją ta¬ 
kże in ne ad re sy, kt óre są po wszech nie uży wa ne do kon tak tu z oso ba mi od po wie 
dzia 1 ny mi za kon kret ny aspekt utrzy ma nia ośrod ka. Na przykład skar gi na te mat 
błęd nej kon fi gu ra cji pocz ty zwy kle będą wy syłane na ad res postmaster, a pro ble my 
z grupami dyskusyjnymi mogą być raportowane na adres newsmaster lub Usenet. 
Pocz ta na ad res /zosfmasferpowinnabyćprzekierowanadoosobyodpowiedzialnej 
za pod sta wo we usługi sie cio we ho sta i usługi DNS, je żeli na two jej ma szy nie działa 
serwer nazw. 

Bezpieczeństwosystemu 

Kolejnym, bardzo istotnym aspektem administracji systemu w środowisku sie cie 
wym jest zabezpieczenie go i jego użytkowników przed intruzami. Niedbale 
zarządza ne sys te my sta no wią łatwy cel dla złośli wych osób. Ata ki za czy nają się od 
zga dy wa nia ha seł, a ko ńczą na wy syłaniu fałszy wych pak ietów Et her net, na to miast 
znisz cze nia za czy nają się od fałszy wych poczt elek tro nicz nych, a mogą sko ńczyć się 
utratą danych lub po gwałceniem pry wat no ści two ich użytkowników. O pewnych 
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kon kret nych próbie mach po wie my przy oma wia niu kon tek stu, w któ rym mogą one 
wystąpić, i po ka żerny spo so by obro ny. 

Ten podrozdział oma wia kil ka przykładów i pod sta wo wych tech nik związa nych 
z bezpieczeństwem systemu. Oczywiście nie przedstawia wszystkich zagadnień 
bez piecze ństwa, jakie możesznapo tkać. Chcemy jedy niezasy gna lizowaćproble my, 
któ re mogą wystąpić. Dla te go prze czy ta nie do brej książki na te mat bez pie cze ństwa 
jest ab so lut nie niezbędne, szczególnie w przy pad ku sys te mu sie cio we go. 

Pod stawą bez pie cze ństwa sys te mu jest do bra ad mi ni stra cja. Ozna cza to spraw dza- 
nie własno ści wszyst kich istot nych plików i katal ogów oraz pra wa do stę pu do nich, 
a ta kże mo ni to ro wa nie wy ko rzy sta nia uprzy wi le jo wa nych kont. Na przykład pro¬ 
gram COPS prze szu ku je twój sys tern pli kó w i pod sta wo we pli ki kon f i gu ra cyj ne pod 
kątem nie ty po wych praw do stę pu lub in nych ano ma lii. Mądrze jest ta kże uży wać 
ta kie go sys te mu ha seł, kt óry wy ma ga od użytkowników sto so wa nia się do pew nych 
re gul, przez co hasła jest trud no od gadnąć. Na przykład pa kiet ha seł sha dow wy ma¬ 
ga, by hasło miało co naj mniej 5 zna ków i za wie rało licz by oraz zna ki nie al fa nu me 
ryczne. 

Gdy udo stęp niasz jakąś usługę w sie ci, pa mię taj, że by dać jej „jak naj mniej prz y- 
wilejów". Po zwa łaj na ro bie nie tyl ko tych rze czy, któ re są wy ma ga ne, by działała 
tak, jak zo stała za pro jek to wa na. Na przykład powinieneśnadaćprogramomprawo 
se tu idroota lub in ne go uprzy wi le jo wa ne go kon ta, tyl ko wte dy gdy jest to nie zbęd¬ 
ne. Ta kże, je żeli chcesz uży wać usługi tyl ko w bar dzo ogra ni czo nym zakresie, nie 
wa haj się jej skon fi gu ro wać od po wied nio do two ich szc zególnych zastosowań. Na 
przykład gdy byś chciał po zwo lić, aby sta cje bez dy sko we uru cha miały się z two jej 
maszyny, musisz udostępnić uproszczony protokół przesyłania plików (Trwial File 
T ransferProtocol- TFTP), takby mogły sko pio wać pod sta wo we pli ki kon fi gu ra cyj ne 
z katalogu /boot twojej maszyny. Jednak w przypadku nieograniczonego użycia 
TFTP po zwa la uży t kow ni kom z całego świa ta ko pio wać te pli ki z two je go sys te mu, 
do których wszyscy mają prawo odczytu. Jeżeli sobie tego nie życzysz, ogranicz 
usługę TFTP je dy nie do ka ta lo gu /boot*. 

Możesz również ogra ni czyć usługi przy zna wa ne uży t kow ni kom okre ślo nych host ów, 
powiedz my z two jej sie ci lo kal nej. W roz dzia le 12 przed sta wia my de mon tcpd, który 
wy konu je tozadaniedla wie luaplikacjisiecio wych. Bardziej wy rafinowane metody 
ogra ni cza nia do stę pu do poszczególnych hostów lub usług omówimy w roz dzia le 9. 
Ko lejną wa żną rzeczą jest uni ka nie „nie bez piecz ne go" opro gra mo wa nia. W pew¬ 
ny m sensie ka ż de opro gra mo wa nie możebyćnie bez piecz ne, po nie waż może za wie 
rać błędy, które sprytni ludzie mogą wy korzy stać, by uzyskać do stęp do two je go 
sys te mu. Ta kie rze czy się zda rzają i nie da się przed tym za bez pie czyć. Pro blem ten 
dotyczy zarówno opro gra mo wa nia dar mo we go, jaki produktów ko mer cyj nych**. 
Jed nak pro gra my wy ma gające spe cjal nych prz y wil ejów są z na tu ry bar dziej na ra- 


* Do tego te matu po wró cimy w roz dziale 12, Ważnefunkcjesiecicrwe. 

** Zdarzały się ko mer cyj ne wer sje Unik sa (za które płaciło się mnós two pie nię dzy), któ rych kryp¬ 
ty powłoki miały tak usta wio ne pra wo se tu id root, że uży t kow nik mógł bez tru du uzy skać przy wi łe je 
roota za po mocą stan dar do wej sztucz ki. 
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żonę na nie bez pie cze ństwo niż po zo stałe, po nie waż wszel kie lu ki mogą pro wa dzić 
do po ważnych konsekwencji*. Je żeli insta lu jesz pro gram zprawemse tu id, który ma 
pra co wać z sie cią, bądź dwa ra zy bar dziej ostro żny i prze czy taj do ku men ta cję, abyś 
przezprzypadekniestworzyłdziurywbezpiecze ństwie. 

Uwa gę po wi nie neś zwr ócić ta kże na pro gra my, któ re po zwa łają na lo go wa nie lub 
wy ko ny wa nie po le ceń z nie pełnym uwie rzy tel nia niem. Po le ce nia, ta kie jak rlogin , 
rsh i rexec, są bar dzo przy dat ne, ale od oso by uru cha miającej wy ma gają je dy nie ogra¬ 
ni czo ne go uwie rzy tel nie nia, które opie ra się na za ufa niu do na zwy wy wołujące go 
ho sta, usta lo nej na pod sta wie ser we ra nazw (będzie my mówili o tym później), którą 
łatwo można sfałszować. Obecnie standardową praktyką powinno być zupełne 
wyłączanie poleceń r i za stę po wa nie ich na rzę dzia mi z pa kie tu ssh. Na rzę dzia ssh 
wykorzystują bardziej niezawodne metody uwierzytelniania i oferują także inne 
usługi, ta kie jak szy fro wa nie i kom pre sja. 

Nig dy nie możesz wy klu czyć mo żli wo ści, że two je za bez pie cze nia kie dyś za wiodą, 
bez względu na to, jak byłeś ostro żny. Dla te go po wi nie neś upew nić się, że do sta¬ 
tecznie wcześnie wykrywaszintruzów. Sprawdzanie logów systemu jest dobrym 
punk tern początko wym, ale in truz jest praw do po dob nie wy star czająco mądry, by 
przewidzieć, że tak postąpisz, i usunie wszelkie oczywiste ślady pozostawione 
przez sie bie. Jed nak ist nieją na rzę dzia ta kie jak tripwire, na pi sa ne przez Ge ne Ki ma 
i Ge ne Spaffor da, które po zwa łają spraw dzać istot ne pli ki sys te mu, by zo ba czyć, czy 
ich za war tość lub pra wa do stę pu nie zo stały zmie nio ne; tripwire liczy różne su my 
kon tro 1 ne tych plików i umiesz cza je w ba zie da nych. W cza sie ko lej nych prze biegów 
su my są li czo ne po now nie i po rów ny wane z wcze śniej za pi sa ny mi, by w ten sposób 
wykryćmodyfikacje. 


W1988roku z po wo dubłędu RTM nie omal doszło doza blo ko wa nia In ter ne tu, czę śdo wo prz ez wy ko¬ 
rzy sta nie dziu ry w pew nych pro gra mach, mię dzy in ny mi w sendmailu. Dziu ra ta ist niała przez dość 
długi czas, za nim zo stała załata na. 
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Wybrane problemy 
sieci TCP/IP 



W ty m roz dzia le po wie my, ja kie de cy zje kon fi gu ra cyj ne mu sisz podjąć, je śli chcesz 
podłączyć swo je go Linuk sa do sie ci TCP/IP. Zaj mie my się ad re sa mi IP, na zwa mi 
ho stów i ru tin giem. Roz dział ten da je ci pod sta wową wie dzę, nie zbędną do zro zu¬ 
mie nia, cze go wy ma ga two ja kon fi gu ra cja, na to miast w na stęp nych roz działach po¬ 
znasz na rzę dzia, kt óry ch bę dziesz uży wał. 

Aby do wie dzieć się wię cej o TCP / IP i je go bu do wie, zaj rżyj do trzy to mo wej książki 
Internetu)orking with TCP/IP Douglasa R. Comera (Prentice Hall). Bardziej szc¬ 
zegółowym prze wod ni kiem po zarządza niu sie cią TCP/IP jest książka TCP/IP Ne¬ 
tWork Ad ministra tionCra iga Hun ta (0'R eilly). 

Interfejsy sieciowe 

Aby ukryć różn orodność sprzę tu obec ne go w śro do wi sku sie cio wym, TCP/IP od¬ 
wołuje się do interfejsu, przez który na stępuje do stęp do sprzę tu. Interfejs oferuje ze 
staw ope ra cji iden tycz ny dla wszyst kich rodzaj ów urządzeń; za je go po mocą obsłu- 
gu je się wy syłanie i od bie ra nie pa kie tów. 

Ka ż de sie cio we urządzę nie pe ry fe ryj ne mu si mieć w jądrze od po wied ni in ter fejs. 
Na przykład in ter fej sy Et her net w Linuksie noszą na zwy ethO i ethl , in terfej sy PPP 
(omówione w roz dzia le 8, Pro tokółpunkt-punkt) są na zy wa ne pppO i pppl, a in ter fej sy 
FD DI -fddiO ifddil .Nazwyinterfejsówsąuży wanetylkowpoleceniukonfiguracyj- 
nym, kie dy chcesz się od wołać do kon kret ne go urządzę nia fi zycz ne go. Po za tym nie 
są stosowane. 

Za nim in ter fej su bę dzie mo żna użyć w sie ci TCP/ IP, na le ży mu przy pi sać ad res IP, 
który iden ty fi ku je go w pro ce sie ko mu ni ka cji z resztą świa ta. Ad res ten jest różny od 
wspo mnia nej po przed nio na zwy in ter fej su. Je żeli po równasz in ter fejs do drzwi, to 
ad res jest przy cze pio ną na nich ta bliczką z na zwi skiem. 
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Mo żna usta wiać ta kże in ne pa ra me try urządzę nia, ta kie jak mak sy mai ny roz miar 
datagramów ( Ma ximum Transfer Unit- MTU), które mogą być prze two rzo ne przez 
kon kret ne urządzę nie. In ne atry bu ty omów imy późn iej .Na szczę ście wię k szość atry¬ 
butów ma sen sow ne war to ści do my śl ne. 

Adresy IP 

Jak wspo mnie liś my w roz dzia le 1, Wprowadzeniedosieci, pro tokół sie cio wy IP ro zu¬ 
mie ad re sy w po sta ci liczb 32- bi towych. Ka żda ma szy na mu si mieć przy pi sa ny nu¬ 
mer, kt óry jest nie po wta rzal ny w śro do wi sku sie cio wym*. Je żeli je steś podłączo ny 
do sie ci lo kal nej, kt ó ra nie wy mie nia ru chu TCP / IP z in ny mi sie cia mi, możesz przy¬ 
pisać adresy zgodnie z własnym widzimisię. Ist nieją pewne za kresy adres ów IP, 
które zo stały za re zer wo wa ne dla ta kich sie ci pry wat nych. Po ka za no je w ta be li 2-1. 
Jed nak ośrod kom podłączo nym do In ter ne tu ad re sy są nadaw ane przez ad mi ni stra- 
cję centralną: NIC (NetworklnformationCenter)**. 

Ad resy IP, aby były łatwo czy telne, są po dziel one na czte ry 8-b ito we licz by, zwa ne 
okte tami. Na przykład quark.physics.groucho.edu ma ad res IP 0x954C0C04, za pi¬ 
sywany ja ko 149.76.12.4. For mat ten czę sto na zyw any jest kropkową notacją czwór¬ 
kową . 

In nym po wo dem za sto so wa nia ta kie go za pi su jest to, że ad re sy IP są dzie lo ne na nu¬ 
mer sieci za war ty w pierw szej czę ści ad re su i na numer hosta za war ty w po zo stałej je 
go czę ści. Gdy pro sisz NIC o ad re sy IP, nie do sta jesz ad re su dla ka ż de go ho sta, który 
pla nu jesz podłączyć. Otrzy mu jesz nu mer sie ci i po zwo le nie na utwo rżenie w przy¬ 
zna nym za kre sie pra widłowych adresów IP dla hostów w two jej sie ci, zgod nie z po¬ 
trzebami. 

Roz miar czę ści sie ciow ej ad re su za le ży od wielkości sie ci. Aby uwzględn ić różne po¬ 
trzeby, zde fin iowa no kil ka klas sie ci dzielących ad resy IP w różnych miej scach. Kla¬ 
sy sie ci są na stęp ujące: 

Kia sa A 

Klasa A obejmuje sie ci od 1.0.0.0 do 127.0.0.0. Nu mer sie ci jest za pi sany w pierw¬ 
szym okte cie. Kia sa ta udo stęp nia 24- bi to wy ad res ho sta, co po zwa la na podłączę 
nie do jed nej sie ci, z grub sza rzecz biorąc, 1,6 mi lio na ho stów w ka ż dej sie ci. 

Kia sa B 

Kła sa B obej mu je sie ci od 128.0.0.0 do 191.255.0.0. Nu mer sie ci jest za pisany 
w dwóch pierw szych okte tach. Kia sa ta po zwa la na stwo rze nie 16 320 sie ci 
o 65 024 ho stach w ka ż dej z nich. 


* Naj czę ściej uży wa się 4. wer sji pro to kołu IP. Wie le wysiłku włożono w oprą co wa nie jej rozszerzenia 
oznaczonego jako wersja6.IPv6uży wainnegoschematuadresowaniaidłuższychadresów. Li nux po- 
sia da im ple men ta cję IPv6, ale nie jest ona jesz cze na tyle dopracowana, by do ku men to wać ą w tej 
książce. Obsługa IPv6 w jądrze Linuk sa jest do bra, ale na le ży zmo dy fi ko wać wie le apli ka c ji sie cio- 
wych, by ta kże obsługi wały ten stan dard. Cier pli wo śd. 

** Zwy kle ad resy IP na daje usługod awca, u któr ego ku puje się połączę nie IP. Jed nak mo żna się także 
zgłosić po ad resy IP bez poś rednio do NIC, wysyłając e-ma ii pod ad res em hostmaster@internic.net lub 
używ ając for mul arza znaj dującego się pod ad res em http://www.internic.net/) 
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Kia s a C 

Kia sa C obejm uje sie ci od 192.0.0.0 do 223.255.255.0, gdzie nu mer sie ci jest za pi sa¬ 
ny w trzech pierwszych oktetach. Klasa ta pozwala na zarejstrowanie prawie 
2 mi lionów sie ci po 254 ho sty w ka żd ej. 

Kia sy D,E iF 

Ad re sy na leżące do za kre su 224.0.0.0 do 254.0.0.Osą albo eks pe ry men tal ne, albo 
za re zer wo wa ne do za sto so wań spe cjal nych i nie okre ślają żad nej sie ci. Trans mi¬ 
sja gru po wa IP (ang. IP multicasting)- usługa po zwa łająca na prze syłanie da nych 
do wie lu miejsc w In ter ne cie jed no cze śnie - wy ma ga przy pi sa nia adre sów właś¬ 
nie z tego za kre su. 

Je śli wr ócimy do przykładu z roz działu 1, stwier dzi my, że 149.76.12.4 (ad res qu ar¬ 
ka) ozna cza host o nu me rze 12.4 w sie ci kia sy B o nu me rze 149.76.0.0. 

Być może za uwa żyłeś przy opi sie klas adresów, że nie wszyst kie mo żli we war to ści 
by ły do z wo lo ne dla ka ż de go okte tu w czę ści opi su jące j ho sta. Dzie je się tak dla te go, 
że okte ty 0 i 255 są za re zer wo wa ne do spe cjal nych cel ów. Ad res, w którym wszystkie 
bi ty w czę ści ho sta mają war tość 0, jest ad re sem sie ci, a ad res, w kt órym wszyst kie bit y 
w czę ści ho sta mają war tość 1, na zy wa się adresem rozgłoszeniowym (ang. bro adcast ad- 
dress). Od no si się on do wszyst kich hostów w za da nej sie ci jed no cze śnie. Tak więc 
149.76.255.255 nie jest poprawnym adresem hosta, ale odnosi się do wszystkich 
hostów w sie ci 149.76.0.0. 

Kil ka adr esów sie ci jest za rez erwo wane do szczególnych celów. Dwa ta kie ad resy 
to: 0.0.0.0 i 127.0.0.0. Pierwszy nazywamy domyślnymrutingiem (ang. defaultroute), 
a dru gi ad res em pę tlizwrot nej (ang. loopbackaddress). Do myś lny ru ting jest związa ny 
ze spo sob em kie row ania dat agr amów IP. 

Sieć 127.0.0.0 jest za re zer wo wa na dla ru chu IP lo kal ne go wzglę dem twoje go ho sta. 
Zwy kle ad res 127.0.0.1 zostaje przy pisany specjalne muin terfejsowi two jegohosta- 
in terfej sowipętlizwrotnej, który działa jak obwód za mknię ty. Do wol ny pa kiet IP skie¬ 
rowany na ten interfejs z TCP lub UDP zo sta nie mu zwrócony tak, jak by właśnie 
nad szedł z ja kie jś sie ci. Dzię ki te mu mo żna te sto wać opro gra mo wa nie sie cio we bez 
wy ko rzy sty wa nia „rze czy wi stej" sie ci. Sieć pę tli z wrót nej po zwa la ta kże na uży wa- 
nie oprogramowania sieciowego na pojedynczym hoście. Choć nie wygląda to 
na zbyt przy dat ne, to jed nak jest. Na przykład wie le ośr odków UUCP nie po sia da 
w og óle podłączę nia IP, ale wciąż może w nich działać sys tern grup dys ku syj nych 
INN. Aby pra widłowo pra co wać w Linuksie, INN wy ma ga in ter f ej su pę tli z wrót nej. 

W ka ż dej kia sie sie ci pew ne za kre sy ad res ów zo stały odłożone na bok i okre ślo ne ja¬ 
ko „ za re zer wo wa ne" lub „pry wat ne"zakresyadres ów. Ad re sy te są prze zna czo ne 
do uży t ku w sie ciach pry wat nych i nie są ru to wa ne do In ter ne tu. Zwy kle ko rzy stają 
z nich or ga ni za cje tworzące własny in tra net, ale ta kże małe sie ci. Jak już mó wiliśmy, 
zarezerwowaneadresysiecipodajetabela2-l. 
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Ta be la 2-1. Za kre sy ad res ów IP za re zerwo wane do użyt ku pry wat ne go 


Klasa 

Sieci 

A 

10.0.0.0 do 10.255.255.255 

B 

172.16.0.0 do 172.31.0.0 

C 

192.168.0.0 do 192.168.255.0 


Rozwiązywanie adresów 

Te raz, gdy wiesz już, jak two rzy się ad re sy IP, możesz za sta na wiać się, w ja ki sp osób 
są one uży wa ne do ad re so wa nia ho st ów w sie ci Et her net lub To ken Ring. Prze cięż 
pro to koły te mają własne ad re sy iden ty fi kujące ho sty, kt óre nie mają nic wspólnego 
z ad re sem IP. Praw da? Tak, masz ra cję. 

Potrzebny jest mechanizm, który odwzorowuje adresy IP na adresy sieci niższej 
warstwy. Tym mechanizmem jest protokół rozwiązywania adresów (AddressResolution 
Protocol - ARP). W prak ty ce ARP mo żna sto so wać nie tyl ko w Et her ne cie czy To ken 
Rin gu, ale również w in nych ty pach sie ci, mię dzy in ny mi ta kich, w kt órych pra cu je 
pro to kół AX.25. Me to da działania ARP jest ta ka sa ma jak ta, którą posługu je się wię- 
k szość lu dzi, kie dy mu si zna le źć Pa na X wś ród 150 go ści: oso ba szu kająca krzy czy 
na ty le głośno, by ka żdy mógł ją usłyszeć, i ocze ku je, że je żeli Pan X jest wśród zgro- 
ma dzo nych, to się ode zwie. Gdy X od po wie, wie my, któ ra to oso ba. 

Gdy ARPchce znaleźć adres ether neto wy od po wiadający określonemu adresowiłP, 
wy ko rzy stu je funk cję Et her ne tu zwanąr ozgł as zaniem (ang. broadcasting ). Roz gła sza- 
nie po le ga na tym, że da ta gram jest ad re so wa ny do wszyst kich sta cji w sie ci jed no- 
cze śnie. Da ta gram rozgłoszę nio wy wysłany przez ARP za wie ra za py ta nie o ad res 
IP. Ka żdy host, który go od bie rze, po rów nuje to za py ta nie ze swo im własnym ad re- 
sem IP. Je żeli znaj dzie się host, którego ad res IP od po wia da po szu kiwa ne mu, to z wra¬ 
ca on od po wie dź ARP do py tające go ho sta. Py tający host może te raz - na pod sta wie 
od po wie dzi- od czy taćad res et her ne to wy nadawcy. 

Możesz się za sta na wiać, jak host może uzy skać ad res in ne go ho sta, kt óry znaj du je 
się na przykład w zu pełnie in nej sie ci na dru gim ko ńcu świa ta. Od po wie dź na to py¬ 
ta nie wy ma ga wy ja śnie nia me cha ni zmure tingu , czy li zna le zie nia f i zycz nej lo ka li za 
cji ho sta w sie ci. To za gad nie nie om ówi my dokład niej w na stęp nym pod roz dzia le. 

Po wiedz my nie co wię cej o pro to ko le ARP. Gdy host znaj dzie ad res et her ne to wy, za 
pi su je go w pa mię ci podręcz nej ARP, aby nie py tać o nie go, gdy bę dzie chciał po- 
now nie wysłać da ta gram do te go sa me go ho sta. Jed nak niemądre byłoby trzy ma nie 
tej in for ma cji bez ko ńca. Kar ta Et her net zdał ne go ho sta może zo stać wy mie nio na 
z po wod ów tech nicz nych, a więc wpis ARP byłby błęd ny. Dla te go wpi sy w pa mię ci 
podręcz nej ARP są po pew nym cza sie usu wa ne, by wy mu sić ko lej ne za py ta nie o ad¬ 
res IP. 

Czasem trzeba równ ież zna leźćadresIPodpo wia dający da ne mu ad re so wi et her ne t o- 
we mu. Dzie je się tak, gdy ma szy na bez dy sko wa chce uru cho mić się z ser we ra w sie 
ci. Sy tu acja ta jest po wszech nie spo ty ka na w sie ciach LAN. Jed nak klient bez dy sko- 
wy nie ma o sobie informacji - za wyjątkiem swojego adresu Ethernet. Tak więc 
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rozgłasza komunikat, w którym prosi serwer uruchomieniowy (ang. boot sera er) 
o ad res IP. Tę sy tu ację obsługu je pro tokół o na zwie odwrotnyprotokółrozwiązy wania 
adresów ( ReoerseAddressResolutionProtocol -RARP). Wraz z pro to kołem BO OTP po¬ 
zwą la na uru cha mia nie bez dy sko wych kii en tów z sie ci. 

Ruting IP 

Te raz wy ja śnij my, jak na pod sta wie ad re su IP od szu kać host, do którego są ad re so¬ 
wa ne da ta gra my. Ró żne czę ści ad re su są obsługi wa ne w róż ny spo sób. T wo im za da¬ 
niem jest skon fi gu ro wa nie plik ów tak, aby mówiły, jak ma być trak to wa na ka żda 
z po szczególnych czę ści ad re su IP. 

Sieci IP 

Gdy pi szesz do ko goś list, zwy kle umieszc zasz na ko perć ie pełny ad res, czy li ta kże 
pa ństwo, re gion ad min ist racyj ny (np. stan, wo jewództwo), na zwę pocz ty wraz z ka 
dem. Po włożę niu li stu do skrzyń ki pocz tow ej, pocz ta do stare zy go do miej sca prze 
znać zenia: zo stan ie wysłany do poda nego na ko perć ie kra ju, gdzie służby kra jowe 
skierują go do odpowiedniego regionu. Zaleta takiego hierarchicznego schematu 
jest oczyw ista: gdy wy syłasz list do in ne go mia sta lub kra ju, miej sco wa pocz ta wie 
z grub sza, w ja kim kie runku ma go prze ka zać, ale nie mar twi się, którędy list bę dzie 
szedł, gdy już do trze do kra ju prze znać zenia. 

Sie ci IP mają po dobną struk turę. Cały In tern et składa się z sze regu sie ci, zwa nych 
systemaminiezależnymi Ka żdy sys tern re aliz uje we wn ętrznie ru ting po międ zy swa 
imi ho stami, tak więc za dan ie do stare zenia da tag ramu re duk uje się do zna lez ienia 
ścież ki do sie ci za wier ającej host ad res ata. Wy stare zy prze ka zać datagram do ja kieg- 
okolwiek ho sta w sie ci ad res ata, a dal sza węd rowka od bywa się już wyłącznie w ob¬ 
ręb ie tej sie ci. 

Podsieci 

Zasada po działu jest wi docz na w wy od ręb nie niu w ad resach IP części ho sta i czę ści 
sie ciowej, jak już wy jaś niali śmy wcze śniej. Do myś lnie sieć prze znać zenia jest uzys- 
kiwa na z czę ści sie ciow ej ad resu IP. Tak więc ho sty o ident yczny ch nu mer ach sieci IP 
po winny znaj dow ać się w tej sa mej sie ci*. 

Za stos owa nie po dobn ego sche matu ma ta kże sens wewnątrz sie ci, po niew aż może 
się ona skład ać z se tek mniej szych sie ci, w któ rych naj mniejs zymi jed nostk ami są fi¬ 
zyczne sie ci np. Et hern et. Dla tego IP po zwala na dal szy po dział sie ci IP na kil ka pod¬ 
sieci. 

Pod sieć od pow iada za do stare zanie da tagra mów do pe w nego za kresu ad resów IP. 
Jest to roz szer zenie pojęć ia po działu pól bi tow ych, tak jak w kia sach A, B i C. Jed nak 
czę ść sie ciowa jest te raz roz szer zana tak, by za wierała ni ektó re bi ty z czę ści ho sta. 
Licz ba bitów, in ter pre to wa na ja ko nu mer pod sie ci, jest okreś łona przez tak zwaną 


Sys temy nie zal eżne są nie co bar dziej ogó lne. Mogą składać się z wię cej niż jed nej sie ci IP. 
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ma skę pod sieci lub ma skę sie ci. Jest to również licz ba 32- bit owa, okres łająca ma skę bi¬ 
tową dla czę ści sie ciow ej ad resu IP. 

Sieć cam pus owa przykład ow ego uniw ersy tetu Gro ucho Marx to właśnie ta ka sieć. 
Ma sieć kia sy B o nu mer ze 149.76.0.0 i dla tego jej ma ska to 255.255.0.0. 

We w nętrz nie sieć cam pu so wa składa się z kil ku mniej szych sie ci, ta kich jak sie ci lo¬ 
kal ne ró żny ch wy działów. Tak więc za kres ad resów IP jest po dzie lo ny na 254 pod sie ci 
od 149.76.1.0 do 149.76.254.0. Naprzykład wy działfizy ki teoretycznej ma przy pi sany 
ad res 149.76.12.0. Szkie let cam pu su jest sie cią samą w so bie i ma nu mer 149.76.1.0. 
Pod sie ci te ko rzy stają ze wspólnej czę ści sie cio wej ad re su IP, a rozróżniane są na pod- 
sta wie 3. okte tu. Dla te go ma ska pod sie ci w tym przy pad ku ma po stać 255.255.255.0. 

Rysunek2-1 pokazuje,jakadresquarka: 149.76.12.4 jestinterpreto wany,gdy mabyć 
zwykłym ad res em w sie ci kia sy B i wte dy, gdy ma uwzględ niać pod sieci. 


Klasa B 

Część smuom Część hasta 



Klasa B z podsiecią 

Część sieciom Pomieć Część hasta 



Rysu nek2-1 . Po dział sie ci kia sy B na pod sie ci 


War to za uważ yć, że dzie len ie na pod sieci (tech nika two rzen ia pod sieci) jest je dyn ie 
wewnętrznym podziałem sieci. Podsieci są generowane przez właściciela sieci (lub 
administratorów). Czę sto pod sieci są two rzone, aby od zwierc iedl ać ist niejące gra¬ 
nice fizyczne (pomiędzy dwoma sieciami Ethernet), administracyjne (pomiędzy 
dwo ma wy działami) lub geo graficzne (po międ zy d wo ma lo kał iza cja mi), na tom iast 
władza nad ka żdą z pod sieci jest od daw ana in nej osob ie. Jed nak struk tura ta do ty¬ 
czy tył ko we wn ętrzne go za chow ania sie ci i jest zu pełnie nie wid oczna dla świata ze 
wnętrznego. 

Gatewaye 

Po dział na pod sie ci jest ko rzyst ny nie tył ko ze względów or ga ni za cyj nych. Czę sto 
jest naturalną konsekwencją ograniczeń sprzętowych. Punkt widzenia hosta na 
daną sieć fi zyczną, np. Et her net, jest bar dzo ogra ni czo ny: może on ko mu ni ko wać się 
tyl ko z ho stem w sie ci, do której jest podłączo ny. Do stęp do wszyst kich in nych ho- 
stów jest mo żli wy tyl ko przez prze zna czo ne do te go urządzę nia na zy wa n ega teway- 
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ami. Gateway to host, który jest podłączo ny do dwóch lub wię cej sie ci fi zycz nych 
jed no cze śnie i skon fi gu ro wa ny tak, by prze ka zy wać pa kie ty mię dzy ty mi sie cia mi. 

Ry sun ek 2-2 po kaz uje frag ment to poi ogii sie ci uniw ersy tetu Gro ucho Marx (GMU). 
Ho sty na leżące jed noc ześn ie do dwóch pod sieci są opa trzo ne obo ma ad res ami. 



Róż ne sie ci fi zycz ne muszą być ró żnymi sie cia mi IP, aby protokół IP był w sta nie 
rozpoznać, że host jest w sie ci lo kal nej. Na przykład nu mer sie ci 149.76.4.0 jest za¬ 
rezerwowany dla hostów w sieci LAN wydziału matematyki. Przy przesyłaniu 
datagramów do ąuarka, opro gra mo wa nie sie cio we na erdosie na tych miast roz po¬ 
zna je na pod sta wie ad re su IP 149.76.12.4, że host do ce lo wy jest w in nej sie ci fi zycz- 
nej, a co za tym idzie mo żna się do nie go do stać je dy nie przez ga te way (do my śl nie 
sophus). 
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Sam sophus jest podłączony do dwóch różnych podsieci: wydziału matematyki 
i sie ci szkie let owej cam pusu. Do stęp do ka żd ej z nich ma przez różne in terf ejsy, od- 
pow iednio ethO i fddiO. Ja ki w ta kim ra zie po winn iśmy przy pis ać mu ad res IP? Po¬ 
winien mieć adres z pod sieci 149.76.1.0 czy może ra czej z 149.76.4.0? 

Od pow iedź brzmi: oba. Ga tew ay sophusma przy pis any ad res 149.76.1.1 do użytku 
w sie ci 149.76.1.0 i ad res 149.76.4.1 do użytku w sie ci 149.76.4.0. Ga tew ay mu si mieć 
od rębny ad res IP w ka żd ej sie ci, do której na leży. Ad resy te, wraz z od pow iadający- 
mi im ma skami sie ci, są związa ne z in terf ejsem, przez który na stęp uje do stęp do sie 
ci. Tak więc od wzór owa nie in terf ejsu na ad res w przy padku sophusa wygląda na¬ 
stępująco: 


Interfejs 

Adres 

Maska sie ci 

ethO 

149 . 76 . 4.1 

255 . 255 . 255.0 

fddiO 

149 . 76 . 1.1 

255 . 255 . 255.0 

lo 

127 . 0 . 0.1 

255 . 0 . 0.0 


Ostat nia po zy cja to in ter fejs pę tli zwrot nej lo, o którym pi sal iśmy wcze śniej. 

Z wy klemożeszzi gnor ować sub telne róż nice po międ zy wiąza niemadresuzhostem 
lub je go in terf ejsem. Jeśli host jest tyl ko w jed nej sie ci, tak jak erdos, bę dziesz się od- 
woły wał do ho sta o ta kim a ta kim ad res ie IP, choć dokład nie rzecz biorąc, to in terf ejs 
Et hern et ma przy pis any ad res IP. Różnica jest na prawdę istotna tyl ko w przy padku 
gatewaya. 

Tablica rutingu 

Te raz sku pimy się na tym, jak IP wy biera ga tew ay, kt óry ma zo stać wy kor zyst any 
do do stare zenia da tag ramu do od ległej sie ci. 

Widzieliśmy, że kiedy erdos otrzyma da ta gram prze znaczony dla ąuarka, spraw¬ 
dza ad res do ce lo wy i stwier dza, że nie le ży on w sie ci lo kal nej. Dla te go erdos wy syła 
da ta gram do do my ślne go ga te wayasophus, przed którym stoi te raz to sa mo za da¬ 
nie. sophus stwier dza, że nie ma ta kie go ho sta w sie ciach, do których jest bez po śred¬ 
nio podłączo ny. Mu si więc zna le źć in ny ga te way, do którego bę dzie mógł prze ka zać 
da ta gram. Po prawnym wy bo rembędzieniels,ga te way wy działu fizyki, sophus po¬ 
trze bu je za tern in f or ma cji wiążący ch do ce Iową siecz od powied nim ga te way em. 

IP wy kor zyst uje do te go ce lu ta blicę, kt óra łączy sie ci z ga tew ayami, przez które mo¬ 
żna do nich do trzeć. Mu si w niej ist nieć ta kże wpis uniw ersa lny (rutingdomyślny) 
- jest to ga tew ay związa ny z sie cią 0.0.0.0. Wszyst kie ad resy do cel owe pa sują do tej 
tra sy, po nie w aż żad en z 32 bit ów nie mu si od pow iadać te mu wpi sowi i dla tego pa¬ 
kiety do nie zna nej sie ci są wy syłane przez tra sę do myś Iną. Dla gatewaya sophusa, 
ta blica mogłaby wyglądać tak: 
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Sieć 

Maskasieci 

Gateway 

Interfejs 

149 . 76 . 1.0 

255 . 255 . 255.0 

- 

fddiO 

149 . 76 . 2.0 

255 . 255 . 255.0 

149 . 76 . 1.2 

fddiO 

149 . 76 . 3.0 

255 . 255 . 255.0 

149 . 76 . 1.3 

fddiO 

149 . 76 . 4.0 

255 . 255 . 255.0 

- 

ethO 

149 . 76 . 5.0 

255 . 255 . 255.0 

149 . 76 . 1.5 

fddiO 

0 . 0 . 0.0 

0 . 0 . 0.0 

149 . 76 . 1.2 

fddiO 


Je żeli masz sko rzy stać z tra sy do tej sie ci, do której sophus jest bezpośrednio pod- 
łączo ny, nie po trze bu jesz ga te waya. Ko lum na z wpi sem ga te waya w ta kim przy pad- 
ku za wie ra kre skę. 

Pro ces iden ty f i ka cji, czy da ny ad res do ce lo wy pa su je do tra sy, jest ope ra cją ma te m a- 
tyczną. Jest dość pro sty, ale wy ma ga zna jo mo ści lo gi ki i aryt me ty ki bi nar nej: żądana 
tra sa pa su je do tra sy do ce lo wej, je żeli ad res sie ci po wy ko na niu lo giez nej ope ra cji 
AND z maską sie ci jest doklad nie ta ki sam, jak ad res do ce lo wy po wy ko na niu ope ra¬ 
cji lo giez nej AND z maską sie ci. 

Wy ja śnie nie: tra sa jest pra widłowa, je żeli licz ba bitów ad re su sie ci okre ślo na przez 
ma skę sie ci (począwszy od pierw sze go bi tu leżące go od le wej stro ny, czy li naj star¬ 
sze gobi tu pierw sze go baj tu ad re su) jest ta ka sa ma jak licz ba bitów w ad re sie do ce Io¬ 
wy m. 

Gdy im ple men ta cja IP po szu ku je naj lep szej tra sy do miej sca do ce lo we go, może zna¬ 
le źć wie le pa sujących wpisów z tra sa mi. Na przykład wie my, że do my śl ny ru ting 
pa su je do ka ż de go ad re su do ce lo we go, ale da ta gra my kie ro wa ne do sie ci podłączo 
nych lo kal nie będą pa so wały ta kże do własnych tras. Skąd IP wie, której tra sy użyć? 
To właśnie tu taj ma ska sie ci ma de cy dujące zna cze nie. Choć obie tra sy pa sują do ad- 
re su do ce lo we go, jed na z nich ma wię kszą ma skę sie ci niż dru ga. Wspo mnie liś my 
wcze śniej, że ma ska sie ci była uży wa na do po działu na szej prze strze ni ad re so wej na 
mniej sze sie ci. Im wię k sza jest ma ska, tym le piej jest do pa so wy wa ny ad res do cdo- 
wy. Wy zna czając tra sę dla da ta gra mu po winniśmy zaw sze wy bie rać tra sę o naj¬ 
większej ma sce sie ci. Do my śl na tra sa ma ma skę sie ci o wiel ko ści 0 bitów, a w po wy¬ 
żej po ka za nej kon fi gu ra cji, lo kal nie podłączo ne sie ci mają ma ski sie ci o długo ści 24 
bitów. Jeżeli datagram odpowiada lokalnie podłączonej sieci, będzie rutowany 
w pierwszej kolejności do odpowiedniego urządzenia, a nie na adres domyślny, 
gdyż lo kal ne tra sy są do pa so wa ne wię kszą liczbą bitów. Tyl ko te da ta gra my, kt óre 
nie pa sują do żad nej tra sy, będą prze syłane przez tra sę do my ślną. 

Ta blice ru tingu możesz two rzyć na różne spo soby. Dla małych sie ci lo kaln ych zwy¬ 
kle naj lep iej przy got ować ją ręcz nie i udos tępnić pro tokołowi IP za po mocą po le ce 
nia route w czasie uruchamiania ma szyny (zobacz rozdział 5, Konfigurowanie sieci 
TCP IIP). Dla wię ks zych sie ci ta blice są bu dow ane i uzupełnia ne w cza sie pra cy sieci 
przez demony ru tingu ; te pro gramy pra cują na cen traln ych ho stach sie ci i wy mień iają 
informacje o ru tingu, by ob lic zyć „opty malne" tra sy po międ zy podłączo nymi sie 
ciami. 
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Rozmiar sie ci de cy du je też o wy bo rze pro to kołów ru tin gu. W przy pad ku ru tin gu 
w sys te mach nie za le żnych (tak jak w cam pu sie Gro ucho Marx), uży wa ne są we w- 
nętrzneprotokołyru tingu . Naj bar dziej zna nym z nich jest RIP ( Routinglnforma tion Pro- 
tocol), za im ple men to wa ny w de mo ni erou ted BSD. W przy pad ku ru tin gu po mię dzy 
systemami autonomicznymi stosowane są zewnętrzne protokoły rutingu, takie jak 
EGP ( ExternalGatewayProtocoI) lub BGP (Bor der Ga teway Pro tocol). Protokoły te, wraz 
z RI P-em, zo stały za im ple men to wa ne w de mo nie gated na pi sa nym na Uni wer sy te 
cieCornella. 

Wartości metryki 

Mo żna sko rzy stać z ru tin gu dy na micz ne go, je żeli trze ba zna le źć naj lepszą tra sę do 
ho sta do ce lo we go lub sie ci na pod sta wie licz by hopów. Ho py ozna czają licz bę gate 
wayów, przez które datagram musi przejść, zanim dotrze do hosta lub sieci. Im 
krótsza jest tra sa, tym le piej ra dzi so bie z nią RIP. Bar dzo długie tra sy (po nad 16 ho¬ 
pów) są trak to wa ne ja ko bez u ży tęcz ne i są usu wa ne. 

RIP obsługu je in for ma cje o ru tin gu we wnątrz twojej sie ci lo kal nej, ale na wszystkich 
ho stach mu sisz uru cho mićde mo nagated.W cza sie star tu kom pu te raga t edspraw dza 
wszyst kie ak ty w ne in ter fej sy sie cio we. Je żeli jest ak ty w ny wię cej niż je den in ter fej s 
(nie licząc in ter fej su pę tli zwrot nej), de mon zakłada, że host prze ka zu je pa kie ty po- 
mię dzy kil ko ma sie cia mii czyn nie wy mie nia oraz rozgłasza in for ma cje o ru tin gu. 
W przeciwnym razie jedynie pasywnie odbiera uaktualnienia RIP i odświeża lo¬ 
kalną ta bli cę ru tin gu. 

Przy rozgłasza niu in for ma cji z lo kal nej ta bli cy ru tin gu, gated li czy długość tra sy na 
pod sta wie tak zwa nej wartościmetryki (ang. metricua lue) związa nej z wpi sem w ta bli- 
cy. Ta wartośćjestusta wiana przez administratora pod czas konfigurowania rutingu 
i po win na od po wia dać rze czy wi ste mu kosz to wi tra sy*. Dla te go me try ka tra sy do 
pod sie ci, do której host jest podłączo ny bez po śred nio, zaw sze po win na wy no sić ze 
ro, na to miast tra sa pro wadząca przez dwa ga te waye po win na mieć me try kę o war¬ 
to ści dwa. Nie mu sisz przej mo wać się me tryką, je żeli nie uży wasz pro to kołu RIP- a 
ani gated. 

Internetowy protokół komunikatów kontrolnych(ICMP) 

IP ma protokół to wa rzyszący, o którym jesz cze nie mówiliśmy. Jest nim ICMP (In ter- 
net Control Message Protocol) używany przez kod sieciowy jądra do przesyłania 
komunikatów o błęd ach do in nych ho stów. Na przykład załóżmy, że je steś zn ów na 
erdosie i chcesz zre ali zo wać połączę nie telnet z por tern 123 45 na ąuarku, ale na tym 
por cie nie ma pro ce su na słuchującego. Gdy pierw szy pa kiet TCP za adre so wa ny na 
ten port na dej dzie do qu arka, war stwa sie cio wa roz po zna, że coś przyszło i na tych- 
miast zwróci do erdosa komunikat ICMP o treści „Port Unreachable" (port nie¬ 
osiągalny). 


Koszt tra sy to, w pro stych sie ciach, licz ba hopów wy mag any ch do do tarć ia do celu. W bar dziej skom- 
plik owa nych sie ciach po prawne ob lic zenie kosz tu tra sy może być trud ne. 
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Pro tokół ICMP udo stęp nia róż ne ko mu ni ka ty, głów nie z in for ma cja mi o błęd ach. 
Jednak istnieje jeden ciekawy komunikat, tak zwany komunikat przekierowania 
(ang. redirect message) .Jest on ge ne ro wa ny przez mo duł ru tin gu, gdy wy kry je on, że 
in ny host uży wa na sze go ho sta ja ko ga te waya, mi mo że ist nie je kró tsza tra sa. Na 
przykład po uru cho mie niu sys te mu tabli ca ru tin gu nasophusie może być nie pełna. 
Może za wie rac tra sy do sie ci wy działu ma te ma ty ki, do szkie le tu FD DI i do my ślną 
tra sę do ga te waya cen trum ob li cze nio we go Gro ucho (gccl) . Tak więc pa kie ty ad re 
so wa ne doqu arka będą wy syłane do gccl, a nie do nielsa - ga te waya wy działu fi zy- 
ki. Po odebraniutakiego datagramu gccl zauważy, że jest to nieoptymalna trasa 
i prze ka że pa kietdo nielsa, zwra cając równ ocześnie do sophu sa ko mu ni kat prze 
kie ro wa nia ICMP z in for ma cją o lep szej tra sie. 

Wydaje się, że w ten sposób mo żna łatwo uniknąć ręcz nej kon fi gu ra cji wszel kich 
tras poza podstawowymi. Trzeba jednak zdawać sobie sprawę, że poleganie na 
sche ma tach ru tin gu dy na micz ne go, czy to bę dzie RIP, czy ko mu ni kat prze kie ro wa- 
nia ICMP, nie zaw sze jest do bre. Prze kie ro wa nie ICMP i RIP dają ci nie wielką mo żli- 
wość (lub wręcz nie dają ci żad nej szan sy) we ry fi ko wa nia po kry wających się in for¬ 
ma cji o ru tin gu. Ta sy tu acja może pro wa dzić do zakłóć enia pra cy całej two jej sie ci 
lub jesz cze gorszych rzeczy. Wrezul tacie kodsieciowyLinuksatraktujekomunikaty 
prze kie ro waniasieci tak, jakby tobyły prze kie rowa niahosta. Minimalizuje to znisz¬ 
czę nia w przy pad ku ata ku, któ re do tkną wó wczas je den host, a nie całą sieć. Z dru¬ 
giej stro ny ozna cza to, że w przy pad ku le gal nej sy tu acji ge ne ro wa ny jest nie co wię k 
szy ruch, gdyż ka żdy host wy syła ko mu ni kat prze kie ro wa nia ICMP. Obec nie opie¬ 
ra nie się na prze kie ro wa niach ICMP nie jest do brze wi dzia ne i uzna je się je ra czej za 
złą praktykę. 

Rozwiązywanie nazwy hosta 

Jak wcześniej napisaliśmy,adresowaniew sieciTCP/IP, przy najmniej tam, gdzie 
ko rzy sta się z IP w wer sji 4, opie ra się na licz bach 32- bi towych. Nie ukry wa my, że 
zapamiętywanietakich liczb nie jest łatwe. Dlatego ho sty wy stępują również pod 
„zwykłymi" na zwa mi, ta ki mi jakgauss czy strange. Zna le zie nie ad re su IP od po- 
wia dające go na zwie to obo wiązek apli ka cji. Pro ces ten jest na zy wa ny rozwiązywaniem 
nazwy ho sta. 

Gdy apli ka cja chce zna le źć ad res IP da ne go ho sta, ko rzy sta z funk cji bi blio tęcz nej 
gethostbyname(3) i gethostbyaddr(3). Tra dy cyj nie te i in ne związa ne z ni mi pro ce du ry 
były zgrupowane w od dziel nej biblio tece o na zwie resoherlibrary. W Linuksie funk¬ 
cje te sączę ścią stan dar do wejbiblio te ki libc. Po tocz nie ze staw tych funk cji jest na¬ 
zywa ny „re solve rem". Kon fi gu ra cję me cha ni zmu roz wiązy wa nia nazwopi sa no szc ze 
gółowo w roz dzia le 6, Usługinazewniczeikonfigu rowanieresohera. 

W przy pad ku małej sie ci Et her net czy na wet gru py ta kich sie ci, nie jest trud no utrzy¬ 
mywać tablice odwzorowującenazwy ho stów na ad re sy. In for ma cja ta jest zwy kle 
prze cho wy wa na w pli ku o na zwie/etc/hosts. Pod czas do da wa nia lub usu wa nia hos- 
tów albo zmia ny przy pi sa nia adre sów, wy star czy uak tu al nić plikhosfs na wszyst kich 
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ho stach. Oczy wiś cie sta je się to uciążli we przy sie ciach, któ re skład ają się z wię cej niż 
kilkumaszyn. 

Jed nym z roz wiązań jestNIS ( NetworklnformationSystem -system informacji siecio¬ 
wej) stwo rzo ny przez fir mę Sun Micro sys tems, po tocz nie na zy wa ny YP lub Yel Iow 
Pages.NISprzecho wu je plik/; os f s (i in ne in f or ma cje) w ba zie da nych na ho ście głów¬ 
nym, z kt órego klien ty mogą go w ra zie po trze by od czy ty wać. Roz wiąza nie ta kie 
jest od po wied nie je dy nie dla śred niej wiel ko ści sie ci ty pu LAN, po nie waż wy ma ga 
utrzy ma nia cen trał nej ba zy da nych/zosf s i dys try bu owa nia jej do wszyst kich serwer ów. 
Instalacja i kon fi gu ra cja NI S-a zo stała om ówiona w roz dziale 13, Systeminformacji 
sieciowej. 

WInterneciein for macjeadreso we były pier wot nie prze cho wy wa ne ta kże w pli ku 
ba zy da nych HOSTS.TXT. Plik ten był utrzy my wa ny przez NIC ( Ne tworklnforma tion 
Cen t er - cen trum in for ma cji sie cio wej) imusiałbyć stamtąd pobieranyiin sta lo wa ny 
przez wszyst kie ośrod ki podłączo ne do In ter ne tu. Gdy sieć się roz rosła, ta kie roz¬ 
wiążą nie stało się nie wy god ne. Po za uciążli wy m w ad mi ni stra cji re gu lar nym in sta¬ 
ło wa niem pli ku HO S TS. TXT, nie bez piecz nie wzrosło ob ciąże nie dys try bu ujących 
go serwerów. Co więcej, wszystkie nazwy musiały być rejestrowane w NIC, aby 
mieć pew ność, że żad na się nie po wta rza. 

Dla tego w 1994 ro ku przy jęto no wy sche mat roz wiązy wan ia nazw: sys tern nazw do¬ 
men (Do main Na me System - DNS) autorstwa Pau la Moc ka pe tri sa. Sys tern nazw do¬ 
men omaw iamy szcz egółowo w roz dziale 6. 
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Konfigurowanie 
sprzętu sieciowego 



Po wied zieli śmy nie co o in terf ejsa ch sie ciow ych i ogó lnie o TCP /IP, ale nie opis ali- 
śmy, co tak na prawdę się dzie je, gdy „kod sie ciowy" jądra uzys kuje do stęp do sprzę¬ 
tu . Aby to wy jaś nić, mu simy po dać tro chę in form acji o in terf ejsa ch i ste rown ika ch. 

Na początku jest oczywiście sprzęt, na przykład karta Ethernet, FDDI czy Token 
Ring: jest to płyt ka dru ko wa na, wy pełnio na wie lo ma małymi układa mi sca lo ny mi 
z wy pisa ny mina nich dziwnymi nu mer ka mi, umiesz czo na w złączu w płycie two je 
go PC. Na zy wa my to ogólnie urządzę niem fi zycz nym. 

Abyś mógł uży wać kar ty sie cio wej, jądro Linuk sa mu si za wie rać spe cjal ne funk cje, 
które ro zu mieją okre ślo ny dla da ne gourządze nia spo sób do stę pu. Opro gra mo wa nie, 
które im ple men tu je te funk cje, na zy wane]est sterownikiemurządzenia. Li nux ma ste¬ 
rowniki dla wielu różnych typów kart sieciowych: ISA, PCI, MCA, EISA, port 
równoległy, PCM CI A i naj now szy USB. 

Co jed nak mamy na my śli, mówiąc, że ste rown ik „obsługuje" urządzę nie? Roz waż¬ 
my to na przykładzie kar ty Et hern et. Ste rown ik po win ien ko mun iko wać się w ja kiś 
sp osób z pe ryf eri ami kar ty: musi wysyłać po lec enia i dane do kar ty, na tom iast kar ta 
po winna do stare zać wszel kie odeb ranę dane do ste rown ika. 

W kom pu te rach oso bi stych IBM ko mu ni ka cja ta od by wa się przez ze staw ad resów 
wejścia/wyjścia, które są odwzorowywane na re je stry na kar cie, a ta kże (lub wy¬ 
łącznie) przez współdzie lony lubbez po śred ni do stęp do pa mię ci. Wszystkie po le ce 
nia i da ne, ja kie jądro wy syła do kar ty, muszą zo stać przesłane na te ad re sy. Ad re sy 
we jścia/wyjściaorazpamięcisązwy kle poda wa newpostaciadresu początko we go 
lub adresupodstawowego (ang. ba seaddress). Ty po we adresy pod stawo we w przypad¬ 
ku kart Ethernet dla magistra li ISA to 0x280 lub 0x3 00. Kar ty prze znaczone dla 
magistraliPCImająautoma tycz nie przypisy wa ne własne ad re sy we j ś cia / wyj ś cia. 
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Zwy kle nie mu sisz się mar twić o za gad nie nia sprz ę to we, ta kie jak ad res pod sta wo- 
wy, po nie waż jądro w cza sie star tu po dej mu je pr óbę wy kry cia lo ka li za cji kar ty. Na- 
zy wa się to au towykrywaniem, co ozna cza, że jądro od czy tu je kil ka lo ka li za cji pa mię ci 
i we jś cia / wy jś cia oraz porównuj eodczytanedaneztym,czegooczekuje,jeżelidana 
kar ta sie cio wa jest za in sta lo wa na pod tym ad re sem. Jed nak zda rzają się kar ty sie cio- 
we, któ rych nie da się wy kryć au to ma tycz nie. Cza sem dzie je się tak w przy pad ku ta¬ 
nich kart sie cio wych, któ re nie są w pełni kio na mi stan dar do wych kart in nych pr o- 
ducentów. W cza sie star tu jądro próbuje wy kryć tyl ko jedną kar tę sie ciową. Je żeli 
uży wasz wię cej niż jed nej kar ty, mu sisz jaw nie po wie dzieć o tym jądru. 

In nym pa ra me trem, kt óry być może bę dzie trze ba po dać jądru, jest nu mer prze rwa¬ 
nia. Urządzę nia zwy kle ge ne rują prze rwa nie do jądra, aby na przykład zwrócić na 
sie bie uwa gę, gdy na deszły da ne lub wystąpiła ja kaś sz cz ególna sy tu acja. W kom pu- 
terachPCzmagistraląlSAprze rwa nia mogą po ja wiać się na jed nym z 15 ka nałó w 
prze rwań, po nu me ro wa nych na stę pująco: 0,1,3 i tak da lej do 15. Nu mer prze rwa¬ 
nia przy pi sa ny do urządzę nia na zy wa się numeremzgłoszeniaprzenva nia (ang. In ter- 
rupt reąuestnum ber - IRQ)*. 

Z roz działu 2, Wy bra nepro ble my sie ci TCP/IP, wie my, że jądro uzy sku je do stęp do 
urządzenia sie cio we go przez opro gra mowa nie na zywan einterfejsem. Interfejsy są 
zestawami funkcji (np. wysyłania lub odbierania datagramu), identycznymi dla 
różnych typów urządzeń. 

Interfejsy są identyfikowane na pod sta wie nazw. W wie lu unik so wych sys te mach 
operacyjnychinterfejssieciowyjestimplementowanyjakospecjalnyplikwkatalog u 
/den. Je żeli na pi szesz po le ce nie Is -las /dev/,zoba czysz, jak wyglądają ta kie pli¬ 
ki. Za uwa żysz, że w ko lum nie praw do stę pu (dru giej) pli ki urządzeń za czy nają się 
ra czej li terą, a nie my śl ni kiem (jak zwykłe pli ki). Znak ten okre śla typ urządzę nia. 
Najpopularniejsze są urządzę nia typu b, czyli urządzeniablokowe obsługujące całe 
blo ki da nych przy ka żdym od czy cie i za pi sie oraz urządzę nia ty pu c, czy li urządze- 
niaznakowe, obsługujące da ne po jed nym zna ku. Tam, gdzie zwy kle w wy ni ku po ka 
zy wa nym przez po le ce nie Is wi dzisz roz miar pli ku, tu taj są dwie licz by na zy wa ne 
nu me rem nad rzęd nym i podrzęd nym urządzę nia. Licz by te wska żują rze czy wi ste 
urządzę nie, z któ rym jest związa ny plik. 

Każdy sterownik rejestruje unikalny numer nadrzędny w jądrze. Każda instancja 
urządzę niare jestru jeunikalny numer podrzędny dane gourządzenianadrzędne go. 
In terfej sy 11 y, /den/tty *, są urządzę nia mi zna ko wy mi wska zy wa ny mi przez li te rę c 
i każ de ma nu mer nad rzędny 4, ale /den/ttyl ma numer podrzęd ny 1, a /den/ttyl ma 
nu mer podrzęd ny 2. Pli ki urządzeń są bar dzo uży tęcz ne dla wie lu typ ów urządzeń, 
ale mogą spra wiać kłopo ty, gdy chcesz otwo rzyć nie uży wa ne urzą dzenie. 

Na zwy in terfejsów w Linuksie są zde fi nio wa ne we w nętrz nie w jądrze i nie są pli ka¬ 
mi urządzeń w ka ta lo gu /den. Niektóre ty po we na zwy poda no w dal szym pod roz- 
dziale Wycieczka po urządzeniach sieciowych Linuksa. Przypisanie interfejsów do 
urzą dzeń zwy kle za le ży od ko lej no ści, w kt órej są one kon fi gu ro wa ne. Na przykład 


* IRQ 2 i 9 są tymi sa mymi prze rwan iami, po mew aż ar chit ektu ra IBM PC po siada dwa kaskad owe pro¬ 
ces ory po osiem IRQ ka żdy. Dru gi jest połączo ny z pierw szym po przez IRQ 2 pierw szego. 
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pierwszazainstalowanakartaEthernetbędzienosiłanazwęet/zO,anastępnaefM. In¬ 
ter fej sy SLIP są obsługi wa ne in a czej niż po zo stałe urządzę nia, po nie waż są przy pi¬ 
sy wa nedynamicznie.KiedyzostaniezestawionepołączenieSLIP,interfejsjestprzy 
pisywanydoportuszeregowego. 

Rysunek 3-1 pokazuje zależności pomiędzy sprzętem, sterownikami urządzenia 
iinterfejsami. 



Przy uru cha mia niu sys te mu jądro wy świe tła wy kry te urządzę nia i in sta lo wa ne in- 
terfej sy. Oto frag ment ty po wych ko mu nikatów wy świe tła nych w cza sie uru cha mia- 
niasystemu: 


. This processor honors the WP bit even when in supervisor modę./ 
Good. 

Swansea University Computer Society NET3.035 for Linux 2.0 
NET3: Unix domain sockets 0.13 for Linux NET3.035. 

Swansea University Computer Society TCP/IP for NET3.034 
IP Protocols: IGMP, ICMP, UDP, TCP 

Swansea University Computer Society IPX 0.34 for NET3.035 
IPX Portions Copyright (c) 1995 Caldera, Inc. 

Serial driver version 4.13 with no serial options enabled 
ttyOO at 0x03f8 (irq =4) is a 16550A 
ttyOl at 0x02f8 (irq =3) is a 16550A 

CSLIP: codę copyright 1989 Regents of the University of California 
PPP: Version 2.2.0 (dynamie channel allocation) 

PPP Dynamie channel allocation codę copyright 1995 Caldera, Inc. 

PPP linę disciplne registered. 

ethO: 3C509 at 0x300 tag 1, lObaseT port, address 00 aO 24 Oe e4 eO, / 
IRQ 10. 

3c509.c:1.12 6/4/97 becker@cesdis.gsfc.nasa.gov 
Linux Version 2.0.32 (root@perf) (gee Version 2.7.2.1) 

#1 Tue Oct 21 15:30:44 EST 1997 
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Ten przykład pokazuje, że jądro zostałoskompilowane z włączonym protokołem 
TCP/IP i za wie ra ste row ni ki dla SLIP, CSLIP i PPP. Trze ci wiersz od ko ńca mó wi, że 
została wy kry ta kar ta Et her net 3C509, która jest za in sta lo wa na ja ko in ter fejs ethO. 
Gdybyś miał kartę innego typu, na przykład D-Link poc ket ad ap tor, jądro wy pi¬ 
sałoby wiersz roz po czy nający się od na zwy ta kie go urządzę nia - dlO w przy pad ku 
D-Link, a na stęp nie po ka żałoby typ wy kry tej kar ty. Gdy byś miał za in sta lo waną kar¬ 
tę sieciową, ale nie widziałbyś żadnego podobnego komunikatu, oznacza to, że 
jądro nie jest w sta nie jej po praw nie wy kryć. Sy tu acja ta zo sta nie om ówi ona w dal¬ 
szym pod roz dzia le Au to ma ty cznewy kry waniekart Ethernet. 

Konfigurowaniejądra 

Do wie lu dys trybu cji Linuk sa są dołącza ne dys kiet ki star to we, które działają z wię k- 
szością sprzętu PC. Dostarczone jądro jest znacznie zmodularyzowane i zawiera 
pra wie wszel kie mo żli we ste row ni ki. Ta kie roz wiąza nie wy gląda świet nie na dys- 
kiet ce star to wej, ale ra czej nie przy da się zwykłemu użyt kow ni ko wi. Nie ma sen su 
zajmować miej sca na dys ku ste row ni ka mi, któ rych nie bę dziesz uży wał. Dla te go 
najlepiej przygotować własne jądro i umie ścić w nim tyl ko te ste row ni ki, któ rych 
rzeczywiście potrzebujesz - w ten sposób zaoszczędzisz nieco miejsca na dysku 
i zmniej szysz czas po trzeb ny na skom pi lo wa nie no we go jądra. 

W każdym razie jeżeli pracujesz z Linuksem, powinieneś umieć tworzyć jądro. 
Uznaj to za po twier dze nie te go, że dar mo we opro gra mo wa nie jest świet ne - masz 
kod źródłowy. Nie my śl: „Mu szę skom pi lo wać jądro", ale ra czej: „Mogę skom pi lo- 
wać jądro". Pod sta wy kom pi la cji jądra Linuk sa zo stały wy ja śnio ne w książce Mat ta 
We\shaRunningLinux (wyd. poi. :Linux, Wydawnictwo RM, Warszawa 2000). Dla te 
go w tym pod roz dzia le omó wimy je dy nie opcje konfi gu ra cyj ne do tyczące sie ci. 
Naprawdę ważną rzeczą, którą warto tutaj przypomieć, jest schemat numeracji 
jądra. Jądra Linuk sa są nu me ro wa ne w for ma cie: 2.2.14. Pierw sza cy fra ozna cza 
główny numer wersji. Zmienia się ona wtedy, gdy następują poważne, znaczące 
prze kształcę nia war chi tek tu rze jądra. Na przykład wer sję jądra prze nu me ro wa no 
z 1 . na 2 ., gdy zostało do dane wsparcie dla ma szyn opar tych na nie in te Iow skich 
procesorach. Dru ga licz ba to drugorzędny nu mer wer sji. Pod wie lo ma wzglę da mi 
ważniej sza jest właśnie ona. 

Społecz ność twó rców Linuk sa przy jęła za sadę, że parzyste dru gor zędne nu mery wer sji 
oznac zają jądra produkcyjne lub stabilne, a nieparzyste nu mery wer sji oznac zają jądraroz- 
wojowe lub niestabline Na ma szyn ie, kt óra jest dla cie bie wa żna, po win ieneś używ ać 
jąder sta biln ych, gdyż są one le piej prze tes towa ne. Po jądra roz woj owe war to się gnąć 
wte dy, gdy lu bisz eks per yme ntow ać z naj nows zymi funk cjami Linuk sa, ale mu sisz li¬ 
czyć się z tym, że mogą po jaw ić się jesz cze nie zna ne i nie po praw ione błędy. Trze cia 
licz ba to po pro stu ko lejne wer sje wer sji oznac zonej nu mer em dru go rzęd ny m*. 


* Po win no się uży wać jąder roz wo jo wy ch i zgłaszać błędy, je żeli się je znaj dzie. T a kie eks p ery men to wa 
nie jest bar dzo po uczające, z własz cza je żeli masz kom pu ter, któ re go możesz uży wać tył ko do tes tów. 
Pro ce du ra zgłasza niabłędów jest szcz egółowo poda na w pli ku/usr/src/linux/REPORTING-B UGS w ko¬ 
dzie źród ło wym jądra Linuk sa. 
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Gdy wy dasz po le ce nie makemenu config, po ja wi się tek sto we me nu z listą py tań do¬ 
tyczących konfiguracji. Będą to pytania typu: czy chcesz emulacji koprocesora 
w jądrze. Jedno z tych pytań do ty czy obsługi sie ciTCP/IP. Musisz na nie od powie¬ 
dzieć y, aby jądro było w sta nie obsłużyć sieć. 

Opcje jądra w Linuksie 2.0 i now szych 

Po usta le niu ogól ny ch opcji kon fi gu ra cyj nych na stę pują py ta nia o to, czy chcesz za- 
pew nić obsługę różnych funk cji, ta kich jak ste row ni ki SC SI czy kar ty dż wię ko we. 
Mo nit bę dzie po ka zy wał do stęp ne opcje. Możesz na ci snąć ?, aby za po znać się z opi¬ 
sem da nej opcji. Zaw sze masz do wy bo ru „tak" (y), aby sta tycz nie dołączyć ele ment 
do jądra, lub „nie" (n), aby usunąć go całko wi cie z jądra. Spo tkasz ta kże opcję mo¬ 
dułu (m) w przy pad ku elem ent ów, które mogą zo stać skom pi lo wa ne ja ko mo duły 
ład o wa ne w cza sie pra cy jądra. Mo duły ład u je się, za nimzostaną wy ko rzy sta ne i są 
one szczególnie przy dat ne dla sterowników lub rza dziej uży wa nych ele me ntów. 
Da lej na stęp uje li sta py tań o obsługę sie ci. Dokładny ze staw opcji kon fig ura cyj nych 
nie ustann ie się zmie nia ze wzglę du na ciągły rozwój. Ty powa li sta opcji ofer owa- 
nych przez wię ks zość jąder ro dżiny 2.0 i 2.1 wygląda tak: 

■k 

* NetWork device support 

k 

NetWork device support (CONFIG_NETDEVICES) [Y/n/?] 

Musisz odpowiedzieć na to pytanie y, jeżeli chcesz korzystać z jakichkolwiek 
urządzeń sieciowych, czy to będzie Ethernet, SLIP, PPP, czy cokolwiek innego. 
Gdy od po wiesz na py ta nie twierdząco, au to ma tycz nie zo sta nie włączo na obsługa 
urządzeń ty pu Et her net. Je żeli chcesz włączyć obsługę in nych ty pów st erowników 
sieciowych,musiszodpowiedziećnadodatkowepyta nia. 

PLIP (parallel port) support (CONFIG_PLIP) [N/y/m/?] y 
PPP (point-to-point) support (CONFIG_PPP) [N/y/m/?] y 

k 

* CCP compressors for PPP are only built as modules. 

■k 

SLIP (serial linę) support (CONFIG_SLIP) [N/y/m/?] m 
CSLIP compressed headers (CONFIG_ŚLIP_COMPRESSED) [N/y/?] (NEW) y 
Keepalive and linefill (CONFIG_SLIP_SMART) [N/y/?] (NEW) y 
Six bit SLIP encapsulation (CONFIG_SLIP_MODE_SLIP6) [N/y/?] (NEW) y 

Py ta nia te do tyczą ró żnych pro to kołów war stwy łącza obsługi wa nych przez Linuks a. 
Zarówno PPP, jak i SLIP po zwa łają na prze syłanie datagramów IP po łączach sze re 
go wych. PPP w rze czy wi sto ści jest ze sta wem pro to kołów uży wa nych do wy syłania 
da nych po łączach sze re go wych. Nie kt óre pro to koły wchodzące w skład ze sta wu 
PPP obsługują uwierzytelnianiesię użytkownika na serwerzedostępowym, nato¬ 
miast in ne zaj mują się prze no sze niem pew nych pro to kołów przez łącze - PPP trans- 
por tu je nie tyl ko da ta gra my TCP/IP - może ta kże prze no sić in ne pro to koły, ta kie 
jak IPX. 

Je żeli na py ta nie o obsługę pro to kołu SLIP od po wieszy lub m, zo sta niesz popro szo ny 
o od po wie dź na trzy ko lej ne py ta nia. Opcja kom pre sji nagłów ka po zwa la na ko rzy- 
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sta nie z CSLIP - tech ni ki, która kom pre su je nagłów ki TCP/IP do za le d wie trzech 
bajtów. Za uważ, że ta opcja jądra nie włącza au to ma tycz nie CSLIP, a je dy nie udo¬ 
stępnia nie zbędne do te go celu funkcje jądra. Opcja Keepalive and linefill 
po wo du je, że co ja kiś czas jest ge ne ro wa ny sztucz ny ruch na łączu SLIP, aby uniknąć 
ze rwania połączenia przez czuj niknie ak tyw no ści. Opcja Six bit SLIP encap- 
sulationpo zwa la na uru cho mie nie SLIP na li niach i ob wo dach, kt óre nie są w sta¬ 
nie prze syłać pełnych 8-b it owych zestawów da nych. Jest to tech ni ka po dob na do 
uuko do wa nia (ang. uuencoding ) lub al go ryt mu bin hex, sto so wa nych do prze syłania 
plików bi nar nych pocztą elek tro niczną. 

Protokół PLIP jest spo so bem przesłania datagramów IP przez łącze opar te o por ty 
równoległe. Używa się go do komunikowania się komputerów PC pracujących 
w sys te mie DOS. Na ty po wym kom pu te rze PC, protokół PLIP może być szyb szy niż 
PPP czy SLIP, ale bar dziej ob ciąża pro ce sor, a więc choć prze pu sto wość po zo sta nie 
od po wied nia, to in ne za da nia mogą być re ali zo wa ne wol niej. 

Poniższe pytania dotyczą kart sieciowych różnych sprzedawców. Im więcej ste¬ 
rowników jest do stępn ych na ryn ku, tym bar dziej praw dop odo bne, że w tej sek cji 
po jawi się nowe py tan ie. Gdy byś chciał stwo rzyć jądro, mógłbyś ro bić to na wie lu 
róż nych ma szyn ach, a gdy by two ja ma szyna miała za ins talo wane ró żne ro dzaje kart 
sie ciow ych, mógłbyś włączyć wię cej niż je den ste rown ik: 


Ethernet (10 or 100Mbit) (CONFIG_NET_ETHERNET) [Y/n/?] 

3COM cards (CONFIG_NET_VENDOR_3COM) [Y/n/?] 

3c501 support (C0NFIG_EL1) [N/y/m/?] 

3c503 support (CONFIG_EL2) [N/y/m/?] 

3c509/3c579 support (CONFIG_EL3) [N/y/m/?] 

3c590/3c900 series (592/595/597/900/905) "Vortex/Boomerang" support 
(CONFIG_VORTEX) [N/y/m/?] 

AMD LANCE and PCnet (AT1500 and NE2100) support (CONFIG_LANCE) [N/y/?] 

AMD PCInet32 (VLB and PCI) support (CONFIG_LANCE32) [N/y/?] (NEW) 

Western Digital/SMC cards (CONFIG_NET_VENDOR_SMC) [N/y/?] 

WD80*3 support (CONFIG_WD80x3) [N/y/m/?] (NEW) 

SMC Ultra support (CONFIGJJLTRA) [N/y/m/?] (NEW) 

SMC Ultra32 support (CONFIG_ULTRA32) [N/y/m/?] (NEW) 

SMC 9194 support (CONFIG_SMC9194) [N/y/m/?] (NEW) 

Other ISA cards (CONFIG_NET_ISA) [N/y/?] 

Cabletron E21xx support (CONFIG_E2100) [N/y/m/?] (NEW) 

DEPCĄ, DE10x, DE200, DE201, DE202, DE422 support (CONFIG_DEPCA) [N/y/m/?] (NEW) 
EtherWORKS 3 (DE203, DE204, DE205) support (CONFIG_EWRK3) [N/y/m/?] (NEW) 

EtherExpress 16 support (CONFIG_EEXPRESS) [N/y/m/?] (NEW) 

HP PCLAN+ (27247B and 27252A) support (CONFIG_HPLAN_PLUS) [N/y/m/?] (NEW) 

HP PCLAN (27245 and other 27xxx series) support (CONFIG_HPLAN) [N/y/m/?] (NEW) 
HP 10/100VG PCLAN (ISA, EISA, PCI) support (CONFIG_HP100) [N/y/m/?] (NEW) 
NE2000/NE1000 support (CONFIG_NE2000) [N/y/m/?] (NEW) 

SK_G16 support (CONFIG_SK_G16) [N/y/?] (NEW) 

EISA, VLB, PCI and on card controllers (CONFIG_NET_EISA) [N/y/?] 

Apricot Xen-II on card ethernet (CONFIG_APRICOT) [N/y/m/?] (NEW) 

Intel EtherExpress/Pro 100B support (CONFIG_EEXPRESS_PRO100B) [N/y/m/?] (NEW) 
DE425, DE434, DE435, DE450, DE500 support (CONFIG_DE4X5) [N/y/m/?] (NEW) 
DECchip Tulip (dc21x4x) PCI support (CONFIG_DEC_ELCP) [N/y/m/?] (NEW) 

Digi Intl. RightSwitch SE-X support (CONFIG_DGRS) [N/y/m/?] (NEW) 

Pocket and portable adaptors (CONFIG_NET_POCKET) [N/y/?] 
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AT-LAN-TEC/RealTek pocket adaptor support (CONFIG_ATP) [N/y/?] (NEW) 
D-Link DE600 pocket adaptor support (CONFIG_DE600) [N/y/m/?] (NEW) 

D-Link DE620 pocket adaptor support (CONFIG_DE620) [N/y/m/?] (NEW) 

Token Ring driver support (CONFIG_TR) [N/y/?] 

IBM Tropie chipset based adaptor support (CONFIG_IBMTR) [N/y/m/?] (NEW) 
FDDI driver support (CONFIG_FDDI) [N/y/?] 

Digital DEFEA and DEFPA adapter support (CONFIG_DEFXX) [N/y/?] (NEW) 
ARCnet support (CONFIG_ARCNET) [N/y/m/?] 

Enable arcOe (ARCnet "Ether-Encap" packet format) (CONFIG_ARCNET_ETH)/ 
[N/y/?] (NEW) 

Enable arcOs (ARCnet RFC1051 packet format) (CONFIG_ARCNET_1051)/ 
[N/y/?] (NEW) 


Pod ko nieć sek cji do tyczącej sys temu pli ków skrypt kon fig ura cyj ny za pyta cię, czy 
chcesz włączyć obsługę NFS - sie ciow ego sys temu pli ków. NFS po zwala na udos¬ 
tępni enie sys temu pli ków kil ku ho storn, na kt órych pli ki z two jego ho sta będą wi¬ 
doczne tak, jak by były na zwykłym dys ku podłączo nym lo kaln ie: 

NFS file system support (CONFIG_NFS_FS) [y] 

NFS opiszemyszcz egółowo w roz dziale 14, Sieciowy system plików. 

Opcje sie ciowe jądra w Linuksie 2.0.0 i now szych 

W jądrze Linuksa 2.0.0 nastąpiły znaczne zmiany w obsłudze sieci. Wiele funk¬ 
cji stało się stan dar dową czę ścią jądra, na przykład obsługa pro to kołu IPX. Do da no 
ta k że sze reg opcji, co otwo rzyło no we mo żli wo ści kon fi gu ra cyj ne. Wie lu opcji uży- 
wa się tył ko w bar dzo szc zególnych sy tu acjach i nie będzie my ich opi sy wać. Do ku- 
ment Networking-HOWTO opisuje to, co my tutaj pomijamy. W tym podrozdziale 
po da je my najbardziej przydatne opcje i wy ja śnią my, kie dyna leży ich używać: 

Podstawy 

Aby uży w ać sie ci TCP / IP, mu sisz od pow iedz ieć na to py ta nie, wpisując y. Je żeli 
od powiesz n, wciąż bę dziesz mógł skom pil ować jądro z obsługą IPX: 

Networking options -> 

[*] TCP/IP networking 

Gatewaye 

Mu sisz włączyć tę opcję, je żeli twój sys tern pra cu je jako ga te way po mię dzy dwo¬ 
ma sie cia mi lub po mię dzy sie cią lo kalną a łączem SLIP. To, że opcja jest do my śl- 
nie włączona, w niczym nie przeszkadza, ale trzeba ją wyłączyć, jeżeli chcesz 
skonfigu ro wać host jako firewall . Fi re wal le to ho sty, kt óre są podłączo ne do dwóch 
lub wię cej sie ci, ale nie ru tują ru chu po mię dzy nimi. Są one po wszech nie sto so wa- 
ne, aby udo stęp nić użyt kow ni kom In ter net przy mi ni mai nym ry zy ku dla sie ci 
we w nętrz nej. Użyt kow ni cy mogą lo go wać się do fi re wal la i ko rzy stać z usług in- 
ter ne to wych, a kom pu te ry f ir mo we sązabezpieczoneprzedatakamizzewnątrz, 
po nie waż fi re wal le nie prze pusz czają żad nych połączeń przy cho dzą cych z zew¬ 
nątrz (fi re wal le opi su je my szc ze gółowo w roz dzia le 9 ,Pire wallTCP/IP ): 

[*] IP: forwarding/gatewaying 
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Wirtua Inehosty 

Opcje te po zwa łają na skon fi gu ro wa nie wię cej niż jed ne go ad re su IP dla jed ne go 
in ter fej su. Przy dają się, je żeli chcesz two rzyć „ho sty wir tu al ne", czy li skon fi gu- 
rować maszynę tak, że wygląda i działa jak kilka od dzielnych ma szyn, każda 
o własnych parametrach sieciowych. Wię cej na te mat two rżenia ali asów IP po¬ 
wie my za chwi lę: 

[*] NetWork aliasing 

<*> IP: aliasing support 

Liczeniem chuIP 

Opcja ta pozwala na zbieranie danych na temat wielkości ruchu IP (wycho¬ 
dzącego i wchodzącego) w danej ma szynie. (Omówię nie tego zagadnienia za¬ 
wiera roz dział 10 , Liczeniem chuIP). 

[*] IP: accounting 

Błąd PC 

Opcj a ta roz wiązuje pro blem nie komp aty bil ności z nie któr ymiwersjami zestawu 
PC/TCP, będącego komercyjną implementacją TCP/IP dla komputerów PC 
opart ych na DO S-ie. Je żeli włączysz tę opcję, wciąż bę dziesz mógł ko mun iko wać 
się ze zwykłymi maszynami uniksowymi, ale wydajność na gorszych łączach 
może być slab sza: 

- (it is safe to leave these untouched) 

[*] IP: PC/TCP compatibility modę 

Uruchamianiebezdyskowe 

Funkcja ta włącza RARP (odwrotny protokół roz wiązy wania adresów). RARP 
jest uży wa ny przez klien ty bez dy sko we i X ter mi na le do uzy ski wa nia swo je go 
ad re su IP przy uru cha mia niu. Po wi nie neś włączyć RARP, je żeli pla nu jesz obsłu¬ 
gę klientów tego typu. Mały pro gram o na zwi erarp, dołączony do standardo¬ 
wych na rzę dzi sie cio wych, jest uży wa ny to doda wa nia wp is ów do tabli cy RARP 
jądra: 

<*> IP: Reverse ARP 

MTU 

Aby dane wysyłane przez TCP/IP mogły zostać przekazane do protokołu IP, 
jądro musi po dzie lić ich stru mień na blo ki. Roz miar blo ku jest okre śla ny za po¬ 
mocą maksymalnej jednostki transmisji (Maximum Transmission Unit - MTU). 
W przy pad ku host ów, które są osiągał ne przez sieć lo kalną, np. Et her net, ty po we 
jestuży wanieMTUod powiadającego maksy malnej wielkościpakie tuEthernet- 
1500 baj tom. W przy pad ku ru tin gu IP przez sie ci roz ległe ta kie jak In ter net, pre 
ferowane jest stosowanie mniejszych datagramów, aby nie musiały być dalej 
dzielone w procesie zwanym fragmentacjąlP (ang. IPfragmentation)*. Jądro jest 
w sta nie au to ma tycz nie okre ślić naj mniejszą war tość MTU dla da nej tra sy IP i au¬ 
to ma tycz nie skon fi gu ro wać połączę nie TCP dla tej tra sy. Za cho wa nie to jest do- 


Pa mię taj, że prot okół IP może być prze syłany przez różne typy sie ci, a nie wszyst kie obsługują tak duży 
roz miar pa kie tu jak sieć Et her net. 
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my śl ne. Je żeli od po wiesz y przy wy bo rze tej opcji, właściwość ta zo sta nie wy¬ 
łączona. 

Je żeli rze czy w iście chcesz wysyłać dane w mniej szych pa kiet ach do okreś lony ch 
hostów (po niew aż na przykład dane są prze syłane przez łącze SLIP), sko rzys taj 
z opcji mss po lec enia route, które zo stan ie kr ótko om ówio ne pod ko nieć tego roz¬ 
działu: 

[ ] IP: Disable Path MTU Discovery (normally enabled) 

Bezpieczeństwo 

ProtokółIPobsługujefunkcję źródłowegowyborutrasy (ang. s ourcerouting). • ród- 
łowy wybór trasy pozwala na zakodowanie trasy datagramu w nim samym. 
Z całą pew no ścią było to do bre roz wiąza nie, za nim upo wszech niły się pro to koły 
RIP i OSPF. Obec nie uzna wa ne jest za nie bez piecz ne, po nie waż daje oso bom nie 
po wołanym narzędziedopokonaniazabezpieczeńfire wal li, mia no wi cie po z wa 
la na orni nię cie ta bli cy ru tin gu ru te ra. W nor mai nej sy tu acji po wi nie neś f ii tro wać 
da ta gra my ze źródłowym wy bo rem tra sy, a więc ta opcja po win na być włączo na: 
[*] IP: Drop source routed frames 
Obsługa s ie ciNooell 

Opcja ta włącza obsługę IPX - protokołu transportowego wykorzystywanego 
w sie ci Novell. Li nux bę dzie działał do skon ale jako ru ter IPX, a po nadto funk cja 
ta jest przy datna w śród owi ska ch, gdzie znaj dują się ser wery pli kówNovell. Sys¬ 
tem plików NCP również wymaga włączonej obsługi IPX w jądrze. Gdybyś 
chciał podłączyć się i zamontować systemy plików Novell, mu siałbyś mieć tę 
opcję włączoną (IPX i sys tern pli ków NCP omaw iamy w roz dziale 15 ,IPX i sys tern 
plików NCP): 

<*> The IPX protocol 
Radioamatorskie 

Trzy poniższe opcje włączają obsługę protokołów ra dia arna tor skie go obsługi- 
wa nych przez Linuk sa: AX.25, Ne tRom i Rosę (nie opi su je my ich w tej książce, 
ale są one szc ze gółowo przed sta wio ne w do ku men ci eAX25-HOWTO): 

<*> Amateur Radio AX.25 Level 2 

<*> Amateur Radio NET/ROM 

<*> Amateur Radio X.25 PLP (Rosę) 

Linux obsługuje jeszcze jeden typ sterownika: sterownik fikcyjny (ang. dummy 
driver). Poniższe pytanie pojawia się na początku sekcji dotyczącej sterowników 
urządzeń: 

<*> Dummy net driver support 

Sterownik fik cyj ny jest w za sa dzie przy dat ny tył ko w przy pad ku sa mo dziel nych 
hostówPPP / SLIP. Jest to w isto cie in ter fejs pę tli zwrot nej z ma sko wa niem IP. Na hos- 
tach, które po sia dają je dy nie in ter fej sy PPP / SLIP, bę dziesz chciał mieć in ter fejs, kt 6 
ry przez cały czas utrzymuje twój adres IP. Omawiamy to nieco bardziej szc ze 
gółowo w pod roz dzia le In terfejsfikcyjny w roz dzia le 5, Konfigu rowa niesieciTCP/IP. 
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Za uważ, że dzi siaj to sa mo możesz uzy skać, uży wając alia su IP i kon fi gu rując swój 
ad res IP ja ko alias na in ter fej sie pę tli zwrot nej. 

Wycieczka po urządzeniach sieciowych Linuksa 

Jądro Linuk sa obsługuje sze reg ste równików dla róż nego ro dzaju sprzę tu. Ten pod¬ 
roż dział to kró tki przegląd do stępn ych ro dżin st erowników i uży w any ch przez nie 
nazw interfejsów. 

Interfejsy w Linuksie mają standardowe nazwy, wymienione poniżej. Większość 
ste ro wników obsługu je więcejniż jedeninterfejs, dla tego interfejsy są numerowane, 
na przykład ethO i ethl. 

lo 

To lo kalny in terf ejs pę tli zwrot nej. Jest używ any zaró wno do celów te stów ych, 
jak i przez kil ka aplik acji sie ciow ych. Działa na za sad zie ob wodu za mknięt ego, 
w którym wszel kie dane wysłane do in terf ejsu są zwra cane do war stwy sie ciow ej 
ho sta. W jądrze ist nieje zaw sze tył ko je den in terf ejs pę tli zwrot nej i nie ma sen su, 
aby było ich wię cej. 

ethO, ethl... 

To in terf ejsy kart Et hern et. Są używ ane przez wię ks zość kart Et hern et, włącznie 
z tymi podłącza nymi przez port równoległy. 

trO, tri... 

To interfejsy kart Token Ring. Są używane przez większość kart Token Ring, 
włącznie z pro du ko wa ny mi przez fir my inne niż IBM. 

slO, sil... 

To interfejsy SLIP. Są związane z łącza mi sze reg owy mi w ko lejn ości alok owa nia 
dla SLIP. 

pppO, pppl... 

Toin terf ejsy PPP. Po dobn ie jak in terf ejsy SLIP, in terf ejs PPP jest związany z łączem 
sze reg owym pra cującym w try bie PPP. 
plipO, plipl... 

To in terf ejsy PLIP. PLIP prze syła da tag ramy IP przez łącza równoległe. In terf ejsy 
są alok owa ne przez ste rown ik PLIP w cza sie uruc hami ania sys temu i są od wzoro¬ 
wane na por ty rów noległe. W jądrach 2 ,0.x ist nieje bez poś redni związek mię dzy 
nazwą urządzenia a portem wejścia /wyjścia portu równoległego, ale w now¬ 
szych jądrach na zwy urządzeń są przy pis ywa ne ko lejno, tak jak w urządzę niach 
SLIP i PPP. 

axO, axl... 

To interfejsy AX.25. AX.25 jest podstawowym protokołem używanym przez 
operatorów ra dia amat orsk iego. In terf ejsy AX.25 są alok owa ne i przy pis ywa ne 
w po dobny sp osób jak urządzę nia SLIP. 

Ist niej e wie le in nych typówinterfejsówdlainnychurządzeńsie ciow y ch. Wy mień ili- 
śmy tyl ko naj pop ula rnie jsze z nich. 
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W kil ku na stęp nych pod roz działach omówimy dokład niej ko rzy sta nie z opi sa nych 
po wy żej st er owników. Do kumentNetworkig-HOWTOopisu jekonfigurację większo¬ 
ści pozostałych interfejsów, natomiast AX25-HOWTO wyjaśnia, jak skonfigurować 
urządzę nia sie cio we ra dia arna tor skie go. 

Instalowanie Ethernetu 

Kod sie ciowy Liunk sa w obecn ej po staci obsługu je wiele kart Eht ernet. Wię ks zość 
ste ro wników zo stała na pis ana przez Do nalda Bec kera, któ ry stwo rzył ro dzinę st e 
równików dla kart opartych o układ NationalSemiconductor 8390. Są one znane 
pod nazwą Bec ker Se ries Drivers. Ste rown iki dla róż nego sprzę tu pi sali też inni pro¬ 
gram iści. Dzię ki temu wię ks zość po pul arny ch kart jest obsługiw ana przez Linuk sa, 
z naprawdę nielicznymi wyjątkami. Lista obsługiwanych kart Ethernet stale się 
wydłuża, a więc je żeli two ja kar ta jesz cze się na niej nie znaj du je, to ist nieje re alna 
szan sa, że wkró tce tam dołączy. 

Nie gdyś pró bow ano sporządzić li stę wszyst kich obsługi wa nych kart Et her net, ale 
obec nie za jęłoby to zbyt du żo cza su i miej sca. Na szczę ście Paul Gort ma ker, który re 
daguje dokument Ethernet-HOWTO, zamieszcza listę wszystkich obsługiwanych 
kart i po da je przy dat ne in for ma cje na te mat ich uru cha mia nia w Linuksie*. Co mie 
siąc jest ona wy syłana do gru py dys ku syj nej comp.os.linux.answers, a ta kże jest do¬ 
stępna wośrodkachlustrza nych Pro jek tu Do ku men ta cji Linuk sa. 

Na wet, je żeli je steś prze ko na ny, że po tra fisz za in sta lo wać da ny typ kar ty Et her net 
w swo im kom pu te rze, war to zaj rżeć do Ethernet-HOWTO i do wie dzieć się, co ma do 
po wie dze nia na ten te mat. Znaj dziesz tam in for ma cje wy kra czające po za pro ste za- 
gad nie nia kon fi gu ra cji. Na przykład za pew ne unik niesz nie po trzeb nych kłopo tów, 
je śli bę dziesz wie dział, jak się za cho wują ni ekt óre kar ty Et her net opar te na DMA 
i wy ko rzy stujące ten sam ka nał DMA, który jest do my śl nie prze zna czo ny dla kon¬ 
tro le ra SC SI Ad ap tec AHA 1542. Dopóki nie przełączysz ich na in ny ka nał DMA, 
uru cho mie nie kom pu te ra bę dzie się ko ńczyło za pi sy wa niem pa ki et ów przez kar tę 
Ethernetnaloso we miej sca two j e go dys ku twar de go. 

Aby sko rzy stać z dowolnej obsługi wanej przez Linuk sa karty Et hern et, możesz użyć 
prekompilowanego jądra z jakiejś znanej dystrybucji Linuksa. Zwykle mają one 
moduły dla wszyst kich obsługiw any ch ster own ików, a w pro ces ie in stal acji zwy kle 
możesz wy brać te ste rown iki, któ re chcesz załad ow ać. Jed nak na dłuższą metę le piej 
jest skom pil ować własne jądro i umieś cić w nim tyl ko te ste rown iki, któ re są rze¬ 
czy w iście po trzebne. Za oszc zędz isz miej sce na dys ku i pa mięć. 

Automaty cznewykrywaniekart Ethernet 

Ste rownikiEthernetw Linuksie są z wy kle na ty le in te li gent ne, by zna le źć lo ka li zację 
kar ty Et her net. Dzię ki te mu nie mu sisz sam wska zy wać jej jądra. Ethernet-HOWTO 
informuje, czy da ny ste row nik uży wa au to ma tycz ne go wy kry wa nia i w ja kiej ko¬ 
lejno ści spraw dza ad re sy we jś cia / wy jś cia kar ty. 


Z Pau lem mo żna się skon takt ować pod ad res em gpgl09@rsphyl .anu.edu.au. 
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Kod au to ma tycz ne go wy kry wa nia ma trzy ogra ni cze nia. Po pierw sze, nie jest on 
w stanie poprawnie rozpoznać wszystkich kart. Jest to szczególnie widoczne 
w przy pad ku ta ń szych kl o nów po pu lar nych kart. Po dru gie, jądro nie wy kry je au te¬ 
matycznie wię cej niż jed nej kar ty, dop óki mu te go jaw nie nie za zna czysz. Jest to 
ś wia do me założę nie kon struk cyj ne, gdyż uzna no, że bę dziesz chciał mieć kon tro lę 
nad tym, która kar ta jest przy pi sy wa na do którego in ter fej su. Naj lep szym spo so bem 
na zro bie nie te go porządnie jest ręcz ne skon fi gu ro wa nie kart Et her net we własnym 
kom pu te rze. Po trze cie, ste row nik może prze oczyć ad res, pod którym jest skon fi gu- 
ro wa na two ja kar ta. Pod su mo wując, ste row ni kibędą au to ma tycz nie szu kały kar ty 
tył ko pod ty mi ad re sa mi, pod którymi da ne urządzę nie może być skon fi gu ro wa ne, 
aleczasempewneadresysą igno ro wa ne w ce lu unik nię cia konf lik tó w sprz ę to wych 
z in ny mi ty pa mi kart, które czę sto wy ko rzy stują ten sam ad res. 

Kar ty sie cio we PCI po win ny być wy kry wa ne bez kłopotów. Je żeli jed nak uży wasz 
wię cej niż jed nej kar ty al bo je żeli au to ma tycz ne wy kry wa nie się nie po wie dzie, ist¬ 
nie jesposób na jawne po wiadomie nie jądraoadresie podstawo wyminą zwie kar ty. 

W czasie uruchamiania systemu możesz podać do jądra argumenty i informacje, 
które mogą się przy dać ni ekt órym je go składnikom. Me cha nizm ten po zwala ci na 
przykład na prze kaz anie do jądra in form acji, kt óre urno żli wią ste row ni kom Et her- 
net zlo kal izo wan ie sprzę tu Et hern et bez wy kry w ania go przez ste rown ik. 

Jeżeli korzystasz z systemu uruchamiania lilo, możesz przekazać parametry do 
jądra, wpi sując je za po mocą opcji append wpli ku lilo.conf. Aby po wia do mić jądro 
o urządzę niu Et her net, możesz prze ka zać mu na stę pujące pa ra me try: 

ether =irq,base_addr, [parami, ] [param2, ]name 

Pierw sze czte ry pa ram etry są licz bami, na tom iast ostatni to na zwa urządzę nia. Obo- 
wiązkowesą irq, base_addr i name, opcjonalne-dwa pa ram etry param. Do¬ 
wolne war toś ci licz bowe mogą być ustaw ione na zero, co po wod uje, że jądro okres li 
je przez wy kryw anie. 

Pierw szy pa ram etr okres la IRQ przy pis ane do urządzę nia. Do myś lnie jądro bę dzie 
próbowało automatycznie wykryć kanał IRQ urządzenia. Sterownik 3c503, na 
przykład, ma spe cjalną funk cję, która wy biera wol ne IRQ z li sty 5,9,3,4 i kon fig uru- 
je kar tę tak, by z nie go ko rzys tała. Pa ram etr base_a ddrokreś la pod stawowy ad res 
we jśc ia / wy jśc ia kar ty - war tość zero mówi jądru, by spraw dziło poda ne ad resy. 

Ko lej ne d wa pa ra me try są ró żn ie wy ko rzy sty wa ne przez różne ste row ni ki. W przy- 
pad ku kart wy ko rzy stujących współdzie le nie pa mię ci, ta kich jak WD80x3, pa ra me try 
te okre ślają ad re sy początko wy iko ńco wy ob sza ru pa mię ci. Inne kar ty po wszech nie 
uży wająpa rami do usta wie nia po zio mu wy świe tla nych infor ma cji dębu gujących. 
Wartości od 1 do 7 wyznaczają kolejne poziomy ilości informacji, natomiast 8 
wyłącza je wszyst kie. 0 jest war to ścią do my ślną. Ste row nik 3c503 uży waparam2 do 
wy bo ru po mię dzy we w nętrz ny m (do my śl nie) a ze w nętrz ny m (war tość 1) trans ce ive- 
rem .Tenpierwszy wy ko rzy stu je złącze kar ty BN C, na to miast dru gi jej port AUI. Ar- 
gu men ty pa ram nie muszą być w og óle po da wa ne, je żeli nie masz nic szcze gólnego 
doskonfiguro wania. 
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Pierw szy, nie licz bo wy ar gu ment jest in ter pre to wa ny przez jądro ja ko na z wa urządzę 
nia. Mu sisz po dać na zwę urządzę nia dla ka ż dej kon fi gu ro wa nej kar ty Et her net. 

Gdy byś miał dwie kar ty Et her net. Li nux mógłby wy kryć jedną kar tę au to ma tycz nie 
i przez lilo przekazać parametry do drugiej karty, ale prawdopodobnie wolałbyś 
ręcz nie skon fi gu ro wać obie kar ty. Je śli de cy du jesz się na wy kry wa nie jed nej kar ty 
przez jądro i ręcz ne kon fi gu ro wa nie dru giej, mu sisz mieć pe w ność, że jądro nie znaj¬ 
dzie przy pad ko wo naj pierw dru giej kar ty i że pierw szazostaniewogóleznaleziona. 
Dla te go prze każ do lilo opcję reserve,która jaw nie mówi jądru, by nie spraw dzało 
ob sza ru we jś cia/wy jś cia za ję te go przez drugą kar tę. Na przykład, aby Li nux za in¬ 
stalował drugą kartę Ethernet znajdującą się pod adresem 0x300 jako ethl, mu¬ 
siałbyś prze ka zać jądru na stę pujące pa ra me try: 
reserve=0x300,32 ether=0,0x300,ethl 

Opcja r e s e r ve gwa ran tu je, że ża den ste row nik nie bę dzie miał do stę pu do ob sza ru 
wejścia/wyjściadru giej kar ty wczasie wy kry waniainnychurządzeń. Możesz także 
użyć pa ra me tru jądra, który unie wa żnia au to ma tycz ne wy kry wa nie ethO: 

reserve=0x340,32 ether=0,0x340,ethO 

Możesz ta kże w og óle wyłączyć au tom aty czne wy kry w anie, na przykład, aby jądro 
nie próbowało szukać karty Ethernet, którą tymczasowo usunąłeś. W tym celu 
ustaw ar gu ment ba s e_ a ddr na war tość -1: 

ether=0,-1,ethO 

Aby prze ka zać te pa ra me try do jądra w cza sie uru cha mia nia, wpi su jesz je w mo ni cie 
„boot:" lilo. Aby lilo po kazało mo nit„bootmusisz na ci snąć je den z klawi szy 
[Con troi], [Alt] lub [Shift] w cza sie uru cha mia nia lilo. Je żeli mając mo nit, na ciś niesz 
kła wisz [Tab], po ja wi się li sta jąder. Aby uru cho mić jądro z poda ny mi pa ra me tra mi, 
wprowadź nazwę wybranego jądra, a następnie spację i parametry, które chcesz 
przekazać. Po naciśnięciu [En ter] lilo załaduje jądro z uwzględnieniem podanych 
parametrów. 

Aby te nowe pa ram etry po jawiły się au tom aty cznie przy po nown ym uruc hami aniu 
sys temu, wpro wadź je do pli ku /etc/lilo.conf, uży w ając słowa klu czow ego appe nd=. 
Oto przykład: 

boot=/dev/hda 

root=/dev/hda2 

install=/boot/boot.b 

map=/boot/map 

vga=normal 

delay=20 

append="ether=10,300, ethO" 

image=/boot/vmlinuz-2.2.14 

label=2.2.14 

read-only 

Po edy cji pli ku lilo.conf mu sisz po now nie uru cho mić po le ce nie lilo , aby uak ty w nić 
zmiany. 
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Sterownik PLIP 

Protokół IP łącza równoległego (Parallel Linę IP - PLIP) to łatwy i tani sposób na 
połączę nie dwó ch ma szyn w sieć. Wy ko rzy stu je port równoległy i spe cjal ny ka bel. 
Osiąga pręd kość od 10 do 20 kilobajtów na se kun dę. 

PLIP po wstał w fir mie Cyrnwr, Inc. Na swo je cza sy od zna czał się po myślową (lub, 
je śli wo lisz, ty po wo ha kerską ar chi tek turą), po nie waż ory gi nal ne por ty rów noległe 
IBM PC były projektowanejakojednokierunkowe por ty drukarki. Osiem linii da¬ 
nych służyło do wy syłania da nych je dy nie z PC do urządzę nia pe ry fe ryj ne go, ale nie 
w drugą stro nę.* Prot okół PLIP fir my Cyrnwr zno sił to ogra ni cze nie. W PLIP do 
przyjmowania danych przeznaczono tylko pięć linii stanu portu, co ograniczyło 
wielkoć dostarczanych danych do półbajtu, ale dopuszczono przesyłanie w obie 
stro ny. Ten tryb działania zo stał na zwa ny PLIP tryb 0. Obec nie por ty rów noległe PC 
obsługują pełne dwu kie run ko we prze syłanie da nych 8-b it owych, a PLIP zo stał roz- 
sze rzo ny i no si na zwę PLIP tryb 1. 

Jądra Linuk sa do wer sji 2.0 (włącznie) obsługi wały je dy nie PLIP tryb 0, ale ist niały 
roz sze rzo ne ste ro w ni ki por tu rów noległego (w po sta ci po pra wek dla jądra 2.0 i ja ko 
standardowy kod w jądrze 2.2), które obsługiwały także PLIP tryb 1**. W od¬ 
różnieniu od wcze śniej szych wer sji ko du PLIP, obec ny ste row nik pró buje być kom- 
pa ty bil ny z im ple men ta cja mi PLIP fir my Cyrnwr oraz ste row ni kiem PLIP umiesz- 
czo nym wNC SA telnet***. Aby połączyć dwa kom pu te ry za po mocą PLIP, mu sisz 
mieć spe cjal ny ka bel sprze da wa ny w niekt ór ych skle pach pod nazwą Nuli Prin ter 
lub Tur bo La plink. Możesz jed nak wy ko nać go sa mo dziel nie i nie jest to trud ne. Do¬ 
da tek B, Przydatnekonfiguracjekabli, wy ja śnią, jak to zro bić. 

Ste row nik PLIP dla Linuk sa jest dziełem pra wie nie zli czo nej rze szy uży tkowników. 
Obec nie znaj du je się pod opiekąNiibe Yu ta ka (ad res kon tak to wy: gniibe@mri.co.jp ). 
Sterownik po wkompilowaniu w jądro konfigurujeinterfejssieciowydlakażdego 
możliwego portu drukarki, gdzie plipO odpowiada portowi IpO , plipl portowi Ipl 
i tak dalej. Odwzorowanieinterfejsówna por ty in a czej wygląda w jądrach 2.0 niż 
w jądrach 2.2. W jądrach 2.0 odwzorowanie było zdefiniowane w pliku driues/ 
net/Space.c w ko dzie jądra i nie mogło się zmie nić. Do my śl ne od wzo ro wa nie w tym 
pli ku jest na stę pujące: 


* Walcz o oczysz cze nie z zarzut ów na zwy ha ker! Zaw sze uży waj na zwy „era ker", gdy mów isz o lu¬ 
dziach, kt órzy pr obują po ko nać sys tem za bez pie czeń, a „ha ker", gdy mó wisz o lu dziach, kt órzy wy- 
my śli li mądry sp os ób na roz wiąza nie pro ble mu. Ha ke rzy mogą być era ke ra mi, ale nie należy ich 
nig dy ze sobą my lić. Zaj rżyj doNowegosłownikaHakerów (New Hac kers Dic tio na ry), który mo żna zna¬ 
le źć w po sta ci pli ku Jar gon, a le piej zro zu miesz te po ję da. 

** Poprawka obsługująca rozszerzony port równoległy w jądrach 2.0 jest dostępna pod adresem 
http:ltwww.cyberelk.denion.co.uklparport.html. 

*** NCSA telnet to po pu lar ny pro gram dla DO S-a, który po zwa la na uży wa nie TCP/IP w sieci Ethernet 
lub PLIP i obsługujący usługi telnet oraz FTP. 
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Interfejs 

Portwejś ciał wy jś cia 

IRQ 

plipO 

0x3BC 

7 

plipl 

0x378 

7 

plip2 

0x278 

5 


Gdy byś skon fi gu ro wał swój port dru kar ki w in ny sp osób, mu siałbyś zmie nić od po¬ 
więdnie wartości w pliku drwers/net/Space.c w kodzie źródłowym jądra Linuksa, 
które trze babyłoby prze kom pi lo wać. 

W jądrach 2.2 ste row nik PLIP wy ko rzy stu je ste row nik por tu rów noległego „par port" 
na pi sa ny przez Phi li pa Blun del la*. Nowy ste row nik przy pi su je na zwy urządzeń sie 
cio wych PLIP ko lej no, tak jak ste row ni ki Et her net czy PPP, a więc pierw sze utwo rzo- 
ne urządzę nie PLIP ma na zwę plipO, dru gie plipl i tak da lej. Fi zycz ne por ty równo¬ 
ległe są rów nież przypisy wa ne ko lej no. Do my śl nie ste row nik por tu rów noległego 
zastosuje procedurę automatycznego wykrywania, aby zidentyfikować sprzęt, 
który go obsługu je, i ko lej no za pi sze uzy ski wa ne in for ma cje o urządzę niu fi zycz- 
nym. Le piej jest jaw nie prze ka zać jądru fi zycz ne pa ra me try wejścia/wy jś cia. W tym 
ce lu trze ba po dać ar gu men ty do mo dułu parport_pc.o w cza sie je go ład o wa nia, a je 
żeli ste row nik jest wkom pi lo wa ny w jądro, ar gu men ty po da je się w cza sie uru cha- 
mia nia lilo. Usta wie nia IRQ do wol ne go urządzę nia mogą zo stać zmie nio ne późn iej 
przez za pi sa nie no wej war to ści IRQ do pli ku /proc/parport/*/irq. 

Kon fi gu ro wa nie par am et rów fi zycz nych we jś cia / wy jś cia w jądrze 2.2 w cza sie ładę 
wa nia mo dułu jest pro ste. Na przykład, aby prze ka zać ste row ni ko wi, że masz dwa 
portyrównoległetypuPCpodadresamiwejścia/wyjścia0x278 i 0x378 oraz IRQ 
od po wied nio 5 i 7, możesz załad o wać mo duł z na stę pujący mi ar gu men ta mi: 

modprobe parport_pc ±0=0x278,0x378 irq=5,7 

Od pow iednie ar gum enty prze kaz ywa ne do jądra w przy padku wkom pil owa nego 
ste rownikasą następujące: 

parport=0x278,5 parport=0x378,7 

Aby argumentyteprzekazaćdojądraautomatyczniewczasieuruchamianiasyste 
mu, musisz użyć słowa kluczowe go append w lilo. 

Gdy ste row nik PLIP zo sta nie za ini cjo wa ny, czy to w cza sie uru cha mia nia sys te mu, 
je żeli jest wbu do wa ny, czy też w cza sie ład o wa nia mo dułu plip.o, ka żdy z po rtów ró¬ 
wnoległych bę dzie miał związa ne z nim urządzę nie sie cio weplip. Urządzę nie plipO 
zo sta nie przy pi sa ne do pierw sze go por tu rów noległego,plipl do dru gie go i tak da¬ 
lej. To przy pi sa nie mo żna po minąć, ręcz nie za dając in ny ze staw ar gumentów jądra. 
Na przykład, aby przypisać parportO do urządzenia plipO i parportl do 
urządzenia plipl, użyłbyś na stę pujących argumentów jądra: 
plip=parportl plip=parportO 

Jednak takie przypisanie nie znaczy, że nie możesz wykorzystywać tych portów 
równoległych do dru ko wa nia czy in nych ce lów. Fi zycz ne por ty rów noległe są uży- 


Z Phi li pem możesz skon tak to wać się, pisząc na ad res Philip.Bhindell@pobox.com . 
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wane przez sterownik PLIP jedynie wtedy, gdy odpowiadający im interfejs jest 
wtrybie up. 

Sterowniki PPP i SLIP 

Pro tokoły PPP ( Point-to-pointProtocol- pro to kół punkt-punkt) i SLIP ( SerialLinelP - 
IP łącza sze re go we go) są po wszech nie sto so wa ne do prze syłania pakietów IP przez 
łącze sze re go we. Wie le firm of e ru je do stęp komutowanyPPPiSLIPdoma szyn, któ¬ 
re są podłączo ne do In ter ne tu, za pew niając w ten sposób połączę nia IP dla pry wat- 
nych osób (czę sto in a czej trud no do stęp ne). 

Aby uru cho mić PPP czy SLIP, nie trze ba mo dy fi ko wać sprzę tu - możesz użyć do¬ 
wolnego portu szeregowego. Ponieważ konfiguracja portu szeregowego nie jest 
istotą sieci TCP/IP, zagadnienie to znalazło się w rozdziale 4, Konfigurowanie 
urządzeńszeregowych . Na to miast PPP oma wia my szc zegółowo w roz dzia le 8,Proto¬ 
kół punkt-punkt, a SLIP - w roz dzia le 7, IPłączaszeregowego. 

Inne typy sieci 

Wię k szość po zo stałych typów sie ci jest kon fi gu ro wa na po dob nie jak Et her net. Ar- 
gumentyprzekazywanedomodułówładowalnychbędąoczywiścieinne,aniektóre 
ste row ni ki mogą obsługi wać tyl ko jedną kar tę, ale cała resz ta jest ta ka sa ma. Do ku- 
men ta cję tych kart możesz zna le źć w ka ta lo gu /usr/src/linux/Documen tation/networ- 
king w ko dzie źr ódłowym Linuk sa. 



_ 4 

Konfigurowanie 
urządzeń szeregowych 



In ternetroz wija się bardzo szyb ko. A prze cięż większość je go użytkowników sta na 
wią ci, kt órzy nie mogą so bie po zwoi ić na stałe i szyb kie łącza i używ ają pro tokołów 
ta kich jak SLIP, PPP czy UUCP, dzwo niąc do do stawcy usług in tern eto wych i od- 
bier ając dzienną por cję swo jej pocz ty i wia dom ości grup dys kus yjny ch. 

Roz dział ni niej szy ma pomóc tym wszyst kim, którzy swo je połączę nie ze świa tern ze 
w nętrz nym opie rają na mo de mach. Nie będzie my mówili, jak skon f i gu ro wać mo dem 
(in struk cja kon kret ne go urządzę nia po wie ci wię cej na ten te mat), ale opi sze my aspek¬ 
ty spe cy f icz ne dla Linuk sa i do tyczące zarządza nia urządzę nia mi wy ko rzy stujący mi 
por ty sze re go we. In te re sujące nas te ma tyto: opro gra mo wa nie do ko mu ni ka cji sze re 
go wej, two rze nie pli ków urządzeń sze re go wych, urządzę nia sze re go we i kon fi gu ra 
wa nie urządzeń sze re go wych za po mocą pole c eńsetserial i stty. Wie le in nych te matów 
mo żna zna le źć w Serial-HOWTO au tor stwa Davi da La wy era*. 

Oprogramowanie komun ikacyj nedo połączeń modem owych 

Istnie je wie le pak ietów ko mu ni ka cyj nych dla Linuk sa. Głównie są to pro gra my ter mi 
nala, któ re po zwa łają użyt kow ni ko wi dzwo nić do in ne go kom pu te ra i po czuć się 
tak, jak by sie dział przed pro stym ter mi na lem. Tra dy cyj ny pro gram ter mi na la dla 
śro do wisk unik so wych to kermit. Obec nie jest on już nie co prze sta rżały i może wy¬ 
da wać się trud ny. Ist nieją wy god niej sze pro gra my, któ re obsługują funk cje, ta kie jak 
książki te le f o nicz ne, ję zy ki skryp to we do au to ma tycz ne go dzwo nie nia i lo go wa nia 
się do zdalnych systemów komputerowych oraz różne protokoły wymiany pli¬ 
ków. Jed nym z tych programów jest minicom, wzorowanynanajpopularniejszym 


Z Davi dem mo żna skon takt ować się pod ad res embf347@lafn.org. 
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DOS-owymprogramieterminala.UżytkownicyXlltakżemająnarzędziedlasiebie 
- seyon jest w pełni funk cjo nal nym pro gra mem ko mu ni ka cyj nym opar tym na XI1. 
Programy terminala nie są jedynym rodzajem programów do połączeń szerego¬ 
wych. In ne po zwa łają połączyć się z ho stem i po brać wia do mo ści grup dys ku syj- 
nych oraz pocz tę w jed nej pacz ce, aby później, w wol nej chwi li, za po znać się z ni mi 
i dać od po wie dź. Może za osz czę dzisz w ten sposób du żo cza su i pie nię dzy, je żeli 
złożyło się tak nie szczę śli wie, że miesz kasz w re jo nie, gdzie połączę nia lo kał ne są 
płatne*. Pod czas czy ta nia i przy go to wa nia od po wie dzi nie mu sisz mieć połączę nia 
z sie cią, a gdy bę dziesz go to wy, za dzwo nisz po now nie i umie ścisz swo je od po wie 
dzi na ser we rze za jed nym za ma chem. Po trze bu jesz też nie co wię cej miej sca na dys¬ 
ku twar dym, po nie waż wszyst kie wia do mo ści muszą być na nim umiesz czo ne, za¬ 
nim je prze czy tasz, ale może być to sen sow ny kom pro mis przy obec nych ce nach dy¬ 
sków twar dych. 

UUCP za wie ra w so bie właśnie te go ty pu opro gra mo wa nie ko mu ni ka cyj ne. Jest to 
ze staw pr ogramów, kt óre ko piują pli ki z jed ne go ho sta na dru gi i uru cha miają pro- 
gra my na ho ście zdał nym. Czę sto jest uży wa ny do prze no sze nia pocz ty czy grup 
dys ku syj nych w sie ciach pry wat nych. Pa kiet UUCP la na Tay lo ra, działający ta kże 
pod Linuk sem, opi su je my szc ze gółowo w roz dzia le 16, Zarządza nie UUCP Tay lora. 
Pozostałe nieinteraktywne oprogramowanie komunikacyjne jest używane w sie¬ 
ciach ta kich, jak Fi do net. Wer sje apli ka cji po chodzące z Fi do net, ta kie ]akifmail, są 
równ ież do stęp ne, cho ciąż wy da je się nam, że już nie wie le osób z nich ko rzy sta. 
PPP i SLIP są po śród ku, gdyż po zwa łają za rów no na in te rak ty w ne, jak i nie in te rak- 
tyw ne uży cie. Wie le osób uży wa PPP i SLIP w ce lu dzwo nie nia do swo ich sie ci cam- 
pu so wych lub in nych do stawców In ter ne tu, a po tern ko rzy sta z FTP lub czy ta stro ny 
WWW. PPP i SLIP są ta kże po wszech nie sto so wa ne do połączeń stałych i półstałych 
po mię dzy sie cia mi LAN, choć jest to cie ka we je dy nie przy połączę niach ISDN lub 
in nych o po dob nej szyb ko ści. 

Wprowadzenie do urządzeń szeregowych 

Jądro Linuk sa da je mo żli wość ko mu ni ka cji z urządzę nia mi sze re go wy mi, zwy kle 
nazywanymiurządzeniami tty. Jest to skrót od an giel skiej na zwy Teletype deoice**, 
która wskazuje na głównego producenta urządzeń terminalowych z początków 
Unik sa. Ter min „urządzę nie tty" od no si się obec nie do wszel kich ter mi na li zna ko- 
wych. W tym rozdziale zawężamy jego zakres wyłącznie do plików urządzeń 
w Linuksie, czy li ozna cza on tu taj fi zycz ny ter mi nal. 

Linux udo stęp nia trzy kia sy urządzeń tty: urządzę nia sze re go we, ter mi na le wir tu ał- 
ne (do których masz do stęp przez na ciś nię cie kia wi szy od [Alt+Fl ] do [Alt+Fnn] na 
kon so li lo kal nej) i pseu do ter mi na le (po dob ne do potoków dwu kie run ko wych i uży 
wa ne przez apli ka cje ta kie jak XI1). Te pierw sze zo stały na zwa ne urządzę nia mi tty. 


** 


W USA roz mo wy lo kal ne są prze wa żnie bezpłatne (-przyp. tłum.). 

teletype to po poi sku „ da le ko pis", ale w tym przy pad ku cho dzi o fir mę o iden tycz nie brzmiącej nazwie 
(-przyp. tłum.). 
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po nie waż ory gi nal ne ter mi na le zna ko we były podłączo ne do ma szy ny unik so wej 
przez ka bel sze re go wy lub li nię te le fo niczną i mo dem. Dwa ko lej ne zo stały też za li- 
czo ne do gru py urządzeń tty, po nie waż z punk tu widzę nia pro gra mi sty działały po- 
dob nie do tych pierw szych. 

SLIP i PPP są przeważnie implementowane w jądrze. Jądro w rzeczywistości nie 
trak tu je urządzę nia tty ja ko urządzę nia sie cio we go, któ rym możesz posługi wać się 
tak jak urządzeniem Et her net, używając pole ceńifconfig. Na to miast widzi je ja ko coś, 
do czego może podłączyć urządzę nia sie cio we. Aby to zro bić, jądro zmie nia tzw. 
protokół obsługi (ang. linę discipline) urządzę nia tty. Zarówno SLIP, jak i PPP są pro- 
to kołami obsługi, które mogą zo stać włączo ne na urządzę niach tty. Ogólna za sa da 
jest ta ka, że ste row nik sze re go wy obsługu je otrzy ma ne da ne w ró żny sp osób, w ża¬ 
le żno ści od te go, z ja kie go pro to kołu obsługi ko rzy sta. W przy pad ku do my śl ne go 
protokołu obsługi sterownik po prostu przesyła kolejno każdy otrzymany znak. 
Gdy zo sta nie wy bra ny pr oto kół obsługi PPP lub SLIP, ste row nik nie czy ta blo ków 
da nych, ale opa tru je je spe cjal nym nagłów kiem, kt óry po zwa la na iden ty fi ka cję blo¬ 
ku da nych w stru mie niu po dru giej stro nie i przesłanie no we go blo ku da nych. Na 
razie zrozumienie tego nie jest zbyt istotne. W dalszych rozdziałach omówimy 
dokład niej PPP oraz SLIP i wszyst ko sta nie się ja sne. 

Dostęp do urządzeń szeregowych 

Tak jak wszyst kie urządzę nia w sys te mie Unix, tak i por ty sze re go we są do stęp ne 
po przez spe cjal ne pli ki urządzeń znaj dujące się w ka ta lo gu ldev. Ist nieją dwa ro dza- 
je pl ików urządzeń związa nych ze ste row ni ka mi sze re go wy mi i dla ka ż de go por tu 
ist nie je je den ta ki plik. Za cho wa nie urządzę nia bę dzie za le żało od te go, kt óry z je go 
plików otworzymy. Tutaj wskażemy różnice, co pomoże nam zrozumieć pewne 
konfiguracje. Jednak w praktycewystarczy używać tyl ko jed ne go z tych plików. 
Niedługo je den z nich może w ogóle prze stać ist nieć. 

Wa żniejs ze urządzę nia z d wó ch klas urządzeń sze reg owy ch mają nu mer nad rzędny 
4, a pli ki spe cjalne urządzeń noszą na zwy ttySO, ttySl itd. Dru gi ro dzaj ma nu mer 
nadrzędny 5 i zo stał stwo rzony do wy kor zyst ania przy dzwo nien iu na zewnątrz 
przez port. Pli ki spe cjalne w tym przy padku noszą na zwy cuaO, cual itd. W świec ie 
Uniksa li czen ie ge ner alnie roz poc zyna się od zera, choć in tel ige ntni lu dzie zwy kle 
liczą od jed ne go. Wprowadza to lek kie zamieszanie, po niew aż C0M1 : jest reprez¬ 
entowany przez /deu/ttySO, C0M2 : przez /deu/ttySl itd. Każdy, kto zna architekturę 
sprz ęt ową IBM PC wie, że port C0M3 : i por ty o wię ks zych nu mer ach nig dy nie stały 
się w rze czy w ist ości stan dard em. 

Urządzę nia cua, czy li „służące do dzwo nien ia" (z ang. cal ling out), miały roz wiązać 
problem konfliktów urządzeń szeregowych przeznaczonych dla modemów 
i obsługujących zaró wno połączę nia przy chodzące, jak i wy chodzące. Nie ste ty, stały 
się one źródłem innych kłopotów i zapewne trzeba będzie z nich zrezygnować. 
Przyj rżyjmy się pokró tce problem owi. 

Linux, podobnie jak Unix, pozwala, by urządzenie lub inny plik były otwierane 
przez wię cej niż je den pro ces jed no cze śnie. Nie ste ty nie jest to za letą w przy pad ku 
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urządzeń tty, gdyż dwa procesy prawie na pewno będą sobie przeszkadzały. Na 
szczę ście wy my ślo no me cha nizm po zwa łający spraw dzać pro ce so wi, czy urządzę 
nie tty zo stało już otwar te przez in ny proces. Me cha nizm ten wy ko rzy stu je tak zwa¬ 
ne plikiblokujące (ang. lock files). Działa na następującej zasadzie: gdy pro ces chce 
otwo rzyć urządzę nie tty, spraw dza, czy w okre ślo nym miej scu ist nie je plik o na zwie 
po dob nej do urządzę nia, któ re chce otwo rzyć. Je żeli plik nie ist nie je, pro ces go two¬ 
rzy i otwie ra urządzę nie tty. Je żeli plik ist nie je, pro ces zakłada, że urządzę nie otwo¬ 
rzył już in ny pro ces i po dej mu je sto sow ne działanie. Jesz cze je den po mysł na spraw¬ 
ne działanie systemu zarządzania plikami blokującymi to zapisywanie w samym 
pli ku ID pro ce su (pid), który stwo rzył plikblo kujący. Wię cej na ten te mat po wie my 
za chwi lę. 

Me cha nizm pli kublo kujące go działa do sko na le w wa run kach, gdy jest zde fi nio wa- 
ne miej sce dla ta kich pl ików i wszyst kie pro gra my wiedzą, gdzie ich szu kać. Nie ste 
ty nie zaw sze tak było w Linuksie. Ko rzy sta nie z te go me cha ni zmu stało się mo żli we 
do pie ro, gdy zo stał zde fi nio wa ny FSSTND (stan dard sys te mu pli ków Linuk sa) z 
usta loną lo ka li za cją pl ik ówblo kujących, które za częły wte dy działać po praw nie dla 
urządzeń tty. Wcze śniej zda rzyło się, że współist niało kil ka mo żli wych lo ka li za cji 
pli ków blo kujących wy bra nych przez programistów./usr/spool/locks/, /mr/spool/locks/, 
/var/lock/ i / usr/lock /. Za mie sza nie ro dziło cha os. Pro gra my otwie rały pli ki blo kujące 
z różnych miejsc, a mające kon tro lo wać jed no urządzę nie tty. Efekt był ta ki, jak by 
pli ki blo kujące w ogóle nie były uży wa ne. 

Aby roz wiązać ten pro blem, stwo rzo no urządzę nia cwa. Za miast po le gać na pli kach 
blo kujących, które miały za bez pie czać przed ko li do wa niem ze sobą programów ko¬ 
rzy stających z urządzeń sze re go wych, zde cy do wa no, że to jądrobę dzie de cy do wać, 
kto ma mieć do stęp do urządzę nia. Je żeli urządzę nie ttyS było już otwarte, próba 
otwar cia cua ko ńczyła się błędem. Pro gram mógł to zin ter pre to wać ja ko in for ma cję, 
że urządzę nie jest uży wa ne. Je żeli urządzę nie cua było już otwar te i zo stała pod ję ta 
pró ba otwar cia urządzę nia ttyS, żąda niebyłoblo ko wa ne, to zna czy wstrzy my wa ne 
do cza su za mknię cia urządzę nia cua przez in ny pro ces. Działało do całkiem do brze, 
jeżeli miałeś jeden mo dem skon fi gu ro wa ny do od bie ra nia połączeń i co ja kiś czas 
chciałeś za dzwo nić za po mocą te go sa me go urządzę nia. Klopo ty po ja wiły się w śro¬ 
do wi skach, gdzie wie le pro gramów chciało dzwo nić z te go sa me go urządzę nia. Je 
dynym sposobem na rozwiązanie tego problemu było zastosowanie plików blo¬ 
kujących. Powrót do punk tu wy jś cia. 

W y star czy wspo mnieć, żeprzyszedłtuzpomocąstandardsystemuplików Linuk sa. 
Te raz pli ki blo kujące muszą znaj do wać się w ka ta lo gu /var/lock i na zy wać zgod nie 
z przyjętą konwencją, czyli plik blokujący dla urządzenia tty SI nazywa się na 
przykład LCK.. t ty SI. Pli ki blo kując ecua po win ny ta kże znaj do wać się w tym ka ta lo¬ 
gu, ale uży wa nie urządzeń cua nie jest za le ca ne. 

Przez ja kiś czas urządzę macua będą jesz cze fu n kejo no wały, by za pewnie kompatybil¬ 
ność w okre sie prze jś cio wym, ale stop nio wo będą wy co fy wa ne. Je żeli za sta na wiasz 
się, cze go uży wać, trzy maj się urządzeń ttyS i upew nij się, że twój sys tern jest zgodny 
z FSSTND lub że przy najm niej wszyst kie pro gra my ko rzy stające z urządzeń sze re 
go wych umiesz czają pli ki blo kujące w tym sa mym miej scu. Wię k szość opro gra mo- 
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wa nia pra cujące go z urządzę nia mi sze re go wy mi tty po sia da opcję kom pi la cyjną po 
zwa łającą na wska za nie miej sca umiesz cza nia plikówblo kujących. Czę sto wy stę pu- 
je ona w po sta ci zmień nej o na zwie ty pu LOCKDIR w pli ku Makefile lub w nagłów¬ 
kowym pli ku kon fi gu ra cyj ny m. Je żeli sam kom pilu jesz opro gra mo wa nie, naj le piej 
jest ustawić tę zmienną tak, by zapewnić zgodność z lokalizacją określoną przez 
FSSTND. Je żeli ko rzy stasz ze skom pi lo wa nych plik ówbi nar nych i nie je steś pe wien, 
gdzie pro gram za pi su je s wo je pli ki blo kujące, możesz użyć po niż sze go po le ce nia, 
by uzyskać wsk azó wkę: 
strings plikbinarny \ grep lock 

Je żeli wska zana lo kal iza cja nie zga dza się z po zos tałą czę ścią two jego sys te mu, sta¬ 
raj się utwo rzyć dowiąza nie sym boi iczne z ka tal ogu pl ików blo kujących, któ rego 
chce używ ać dany pro gram, do ka tal ogu /var/lock. Nie jest to zbyt eleg anckie roz¬ 
wiążą nie, ale działa. 

Plikispecjalneurządzeniaszeregowego 

Nu me ry podrzęd ne są iden tycz ne dla obu typów urządzeń sze re go wych. Gdy byś 
miał swój mo dem na jed nym z czte rech stan dar do wych port ów COM, je go nu mer 
podrzędny byłby numerem portu COM plus 63. Gdybyś używał specjalnego 
urządzenia szeregowego, takiego jak szybki wieloportowy kontroler szeregowy, 
prawdopodobnie mu siałbyś two rzyć dla nie go spe cjal ne pli ki urządzeń. Za pew ne 
karta ta ka nie posługi wałaby się stan dar do wym ste row ni kiem urządzę nia. Od po- 
wied nie sz cz egóły za pew ne znaj dziesz w do ku men cie Serwl-HOWTO. 

Załóżmy, że twój mo dem jest podłączo ny do COM2:. Jego nu mer podrzęd ny to 65, 
a nad rzędny to 4 w przy padku nor maln ego za stos owa nia. Po winno ist nieć urządzę 
nie tty SI, które ma ta kie nu mery. Wy lis tuj urządzę nia szereg owe tty w katalogu 
ldevl. Piąta i szósta kolumna pokazują odpowiednio numery podrzędne i nad¬ 
rzędne: 

$ ls -1 /dev/ttyS* 

0 crw-rw- 1 uucp dialout 4, 64 Oct 13 1997 /dev/ttyS0 

0 crw-rw- 1 uucp dialout 4, 65 Jan 26 21:55 /dev/ttySl 

0 crw-rw- 1 uucp dialout 4, 66 Oct 13 1997 /dev/ttyS2 

0 crw-rw- 1 uucp dialout 4, 67 Oct 13 1997 /dev/ttyS3 

Gdyby nie było urządzę nia o nu mer ze nad rzędn y m 4 i podrzęd nym 65, mu siałbyś je 
stwo rzyć. W ta kiej sy tua cji za log uj się jako użytk ownik uprzyw ile jow any i na pisz: 

# mknod -m 666 /dev/ttySl c 4 65 

# chown uucp.dialout /dev/ttySl 

Dystrybucje Linuksa używają różnych strategii do określania, kto powinien być 
właści cie lem urządzeń sze re go wych. Cza sem będą one własno ścią użyt kow ni karo- 
ot, a innym razem będą należały na przykład do uucp, tak jak w naszym 
przykładzie. Współcze sne dys trybu cje mają spe cjalną gru pę dla urządzeń służących 
do dzwo nie nia. Ka żdy użyt kow nik, który ma pra wo ich uży wać, jest doda wa ny do 
tej grupy. 
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Nie którzy su ger ują stwo rżenie dowiąza nia sym boi iczne go /den/modem do urządze¬ 
nia modemu, tak by zwykli użytkownicy nie musieli zapamiętywać czegoś tak 
skom plik owa nego jakf ty SI. Jed nak nie możesz uży w ać w jed ny m pro gram ie na z wy 
modem, a w dru gim rze czyw ist ej na zwy pli ku urządzę nia. Ich pli ki blo kujące będą 
miały róż ne na zwy i me chan izm blo kow ania nie za działa. 

Urządzenia szeregowe 

RS-232 jest obecnie najbardziej znanym standardem komunikacji szeregowej 
w świe cie PC. Wyko rzy stu je wie le układów do trans mi sji po je dyn czych bi tów oraz 
do synchronizacji.Można wprowadzić dodatkowelinie do sygnalizacji obecności 
nośnej (używanej przez modemy) i do uzgadniania (ang. handshaking). Linux 
obsługu je wie le kart sze re go wych zgod nych ze stan dar dem RS-232. 

Uzgadnia nie sprz ę to we jest opcjonalne, ale bardzo przy datne. Pozwala obustro nom 
na sy gna li zo wa nie go to wo ści od bio ru ko lej nych da nych lub na po wia do mie nie, że 
dru ga stro na po win na po cze kać, aż od bior ca za ko ńczy prze twa rza nie ode bra nych 
danych. Linie używane do tego celu są nazywane odpowiednio „Clear to Send" 
(CTS) i „Re ady to Send" (RTS), co wy ja śnią po toczną na zwę uzgad nia nia sprz ę to we 
go: RTS/CTS. In nym ro dza jem uzgad nia nia, z którym mogłeś się już spo tkać, jest 
XON / XOFF. Wy ko rzy stu je onodwa wy zna czo ne zna ki, zwykle [CTRL+S] i [CTRL+Q] 
do sygnalizowania drugiej stronie, że powinna odpowiednio zatrzymać lub roz¬ 
począć przesyłanie danych. Choć sposób ten jest łatwy do zaimplementowania 
i działa po prawnie na ter mi na lach uprosz czo nych (ang. dumbterminals), po woduje 
za mie sza nie w przy pad ku da nych bi nar nych. Może się bo wiem zda rzyć, że wo lisz 
przesłać te zna ki ja ko czę ść stru mie nia da nych i chcesz, aby były in ter pre to wa ne ja¬ 
ko zna ki ste rujące. Po za tym me to da ta jest wol niej sza niż uzgad nia nie sprz ę to we, 
które jakoprosteiszyb kie jestzalecanezamiast XON / XOFF, oileoczywiściemasz 
wybór. 

W pierw szych mo de lach IBM PC in ter fejs RS-232 był ste ro wa ny przez układ sca lo ny 
UART 8250. PC z czasów procesora 486 używały nowszej wersji układu UART 
16450. Był on nie co szyb szy niż 8250. Pra wie wszyst kie kom pu te ry opar te na Pen¬ 
tium są wy po sa żonę w jesz cze nowszą wer sję układu UART 16550. Niektóre mar ki 
(prze wa żnie mo de my we w nętrz ne wy po sa żonę w ze staw układów Roc kwell) wy¬ 
ko rzy stują zu pełnie in ne układy emu lujące za cho wa nie 16 550 i mogą być trak to wa ne 
podobnie.Standardowysterow nik portuszerego we go Linuk sa obsługu je je wszyst¬ 
kie*. 

Układ 16550 jest znacz nym kro kiem nap rzód w sto sunku do 8250 i 16450, po niew aż 
ofer uje 16-b aj to wy bu for FIFO. 16550 jest w rze czyw ist ości ro dziną urządzeń UART, 
do której należą układy 16550, 16550A i 16550AFN (nazwa została później zmie- 


* Za uważ, że nie mó wimy tu o tak zwa nych Win Mo de mach! Win Mo de my mają bar dzo prostą bu do wę 
sprz ę tową ido wy ko na nia całej pra cy w pełni wy ko rzy stują główny pro ce sor, za miast de d ykowanych 
układów. Zde cy do wa nie odradzamy dza kup ta kie go mo de mu - kup praw dzi wy mo dem. Li nux oczy- 
wiś cie obsługu je Win Mo de my, ale nie jest to atrak cyj ne roz wiąza nie. 
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niona na PCI 16550DN). Różn ice mię dzy nimi po leg ają na za pewn ieniu działania FF 
FO; w układzie 16550AFN działa ono na pewno. Istniał także układ NS16550, ale 
w nim bu for FIFO nig dy tak na prawdę nie działał. 

Układy UART 8250 i 16450 miały pro sty bu for jed nob ajto wy. Oznac zało to, że 16450 
generował prze rwan ie dla ka żd ego na dan ego lub odeb ranę go zna ku. Ka żde wy¬ 
magało kr ótk iego cza su na jego obsługę i to nie wielk ie opó źnien ie ogran iczało pręd¬ 
kość układu 16450 do 9600 bitów na se kundę w ty pow ym kom put erze z ma gis tralą 
ISA. 

W do myś lnej kon fig ura cji jądro spraw dza czte ry stan dard owe por ty sze reg owe, od 
COM1: do COM4:. Jądro jest ta kże w sta nie wy kryć, jaki układ UART jest używ any 
dla każdego ze standardowych portów szeregowych i wykorzystuje bufor FIFO 
układu 16550, je żeli jest do stępny. 

Używanie narzędzi konfiguracyjnych 

Te raz przyj rżyj my się krótko dwóm naj bar dziej przy dat nym na rzę dziom do kon fi- 
guracjiurządzeniaszeregowego:sefserw/ i stty. 

Poleceniesetserial 

Jądro zro bi wszyst ko co w je go mocy, by po prawnie rozpoznać konfi gu rację twoje 
go urządzę nia sze re go we go, ale wie lość mo żli wo ści po wo du je, że trud no jest uzy¬ 
skać w prak ty ce stu pro cen tową nie za wod ność. Do brym przykładem te go, co spra¬ 
wia pro ble my, są mo de my we w nętrz ne, o kt ó rych mów iliśmy wcze śniej. Uży wa- 
ny przez nie układ UART ma 16-bajtowy bufor FIFO, ale z punktu widzenia 
sterów ni ka urządzę nia w jądrze wygląda jak układ UART 16450: dopóki nie wska¬ 
żemy ste row ni ko wi, że jest to urządzę nie 165 50, jądro nie bę dzie wy ko rzy sty wać 
rozszerzonego bufora. Innym przykładem są uproszczone karty 4-portowe po¬ 
zwalające na współdzielenie jednego IRQ przez wiele urządzeń szeregowych. 
W ta kiej sy tu acji mu si my wska zać jądru właści we IRQ i uprze dzić je, że IRQ może 
byćwspółdzielone. 

Do kon fi gu ra cji ste row ni ka sze re go we go w cza sie pra cy stwo rzo no pro gram set se¬ 
rial. Po le ce nie to jest po wszech nie uru cha mia ne w cza sie star tu sys te mu ze skryp tu 
Osetserial lub rc.serial,w za le żno ści od dys try bu cji. Skrypt ma tak usta wić ini cja cję 
sterownika szeregowego, aby ten dostosował się do niestandardowych lub nie¬ 
zwykłych urządzeń sze re go wych zainstalowa nych w kom pu te rze. 

Ogó Ina skład nia po lec eniasetserial jest na stęp ująca: 

setserial urzUdzenie [parametry ] 

gdzie urządzenie to jed no z urządzeń sze reg owy ch, na przykład ttySO. 

Poleceniesetserial ma wie le par ametrów. Naj pop ula rnie jsze z nich opis ano w ta beli 
4-1. In form acje o po zos tałych znaj dziesz w podręcz niku elek tro nicznyms etserial. 
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Tabela4-1. Para metry poleceniasetserial 


Parametr 

Opis 

port numer portu 

Określaadresportu wejścia/wyjścia urządzę niaszeregowego. 

Nu me ry por tu po winny być poda wa ne w no ta cji szes nast ko wej, 
tzn. 0x2 f 8. 

irq numer 

Okre śla nu mer prze rwa nia uży wa ny przez urządzę nie sze re go 

uart typ uart 

Okre śla typ UART urządzę nia sze re go we go. Po wszech nie sto so 
wa ne war to ści to 16 4 5 0, 16 5 5 0 itd. Usta wie nie tej war to ści na 
nonę wyłącza dane urządzę nie sze re go we. 

fourport 

Określenietegoparame tru mówi s te row ni ko wi szeregowemu 
jądra, że port jest jed nym z por tów czte ro por to wej kar ty AST. 

spd hi 

Pro gra mu je UART na pręd kość 57,6 kb/s, gdy pro ces żąda 38,4 
kb/s. 

spd vhi 

Pro gra mu je UART na pręd kość 115 kb/s, gdy pro ces żąda 38,4 
kb/s. 

spd normal 

Pro gra mu je U ART na do my ślną pręd kość 38,4 kb/s, gdy zo sta nie 
zażądana. Pa ra metr ten jest uży wa ny do wyłączę nia działania 
spd hi i spd vhi wykonanych na da nym urządzeniu szerego¬ 
wym. 

auto irq 

Pa ra metr ten po wo duje, że jądro pr ób uje au to ma tycz nie okre ślić 
IRQ da ne go urządzę nia. Pró ba może się nie po wie ść, a więc le piej 
trak to wać to jako żąda nie od gad nię cia IRQ przez jądro. Je żeli 
znasz IRQ urządzę nia, po wi nie neś od razu użyć opcji i r q. 

autoconfig 

Pa ra metr ten musi być okre ślo ny w połączę niu z pa ra me trem 
port. Poda nie tego pa ra me tru po wo duje, że setserial zle ca jądru 
pró bę au to ma tycz ne go okre śle nia typu układu UART znaj¬ 
dującego się pod za da nym ad re sem por tu.Je żeli zo sta nie poda ny 
również para metr auto i rq, jądro po dej mie ta kże pr óbę au ta 
ma tycz ne go wy kry cia IRQ. 

skip test 

Pa ra metr ten mówi jądru, aby nie wy ko ny wało spraw dza nia 
typu układu UART pod czas au to ma tycz nej kon fi gu ra cji. Jest on 
nie zbęd ny, je żeli układ UART nie jest po praw nie wy kry wa ny 
przez jądro. 


Plik rc konfigurujący porty szeregowe w czasie uruchamiania komputera może 
wyglądać tak, jak w przykładzie 4-1. W większościdys trybucjiLinuksabędzie on 
bar dziej wy raf ino wany niż tu taj. 

Przykład 4-1. Przykład o wy plik rc.se rial za wie rający po le ce nia set se rial 

# /etc/rc.serial - skrypt konfigurujścy □LJcze szeregowe 

# 

# Konfiguracja urzDdzeC szeregowych 

/sbin/setserial /dev/ttyS0 auto_irq skip_test autoconfig 

/sbin/setserial /dev/ttySl auto_irq skip_test autoconfig 

/sbin/setserial /dev/ttyS2 auto_irq skip_test autoconfig 

/sbin/setserial /dev/ttyS3 auto_irq skip_test autoconfig 

# 

# Wyświetlenie konfiguracji urzJdzeU szeregowych 
/sbin/setserial -bg /dev/ttyS* 






Używanienarzędzikonfiguracyjnych 


55 


Argument-bg / de v /11 y S * w ostat nim po le ce niu wy pisze ład nie sfor ma to wa ne 
pod su mowa nie konfi gu racji wszystkich urządzeń szeregowych. Wy nikbędzie wy¬ 
glądał tak, jak w przykładzie 4-2. 

Przykład 4-2. Wy nik po le ce nia set se rial -bg /dev/ttyS 

/dev/ttyS0 at 0x03f8 (irq =4) is a 16550A 
/dev/ttySl at 0x02f8 (irq =3) is a 16550A 

Poleceniestty 

Na zwa stty może ozna czać „set tty", ale po le ce nie stty by wa też uży wa ne do wy- 
świetlaniakonfigu racjiterminala.Poleceniesffy,prawdopodob nie jeszcze bar dziej 
niż setseriol, wpra wia w kon ster na cję po sia daną liczbą cha rak te ry styk, któ re mo żna 
kon fi gu ro wać. W tej chwi li po ka żerny naj wa żniej sze z nich. Po zo stałe znaj dziesz na 
stro nie podręcz ni ka elek tro nicz ne go s t ty. 

Pole ce niestty jest naj czę ściej uży wa ne do kon fi gu ro wa nia par am et rów ter mi na la, 
któ re de cy du je na przykład, czy wpro wa dza ne zna ki będą wy ś wie tla ne na ekra nie 
alboczyklawiszpowiniengenerowaćsygnałprze rwa nia. Wcze śniej wy ja śni liś my, 
że urządzę nia sze re go we są urządzę nia mi tty i dla te go po le ce nie s tty od no si się ta k- 
że do nich. 

Jednym z najważniejszych zastosowań stty w urządzeniach szeregowych jest 
włączenie uzgadnia nia sprzęto we go w urządzeniu. Wcze śniej krótko wspomnieliś¬ 
my o uzgadnianiu sprzętowym. Domyślna konfiguracja urządzeń szeregowych 
zakłada wyłączę nie uzgad nia nia sprz ę to we go. Wówc z as mogą działać ka ble sze re 
gowe „trzyżyłowe". Nie obsługują one sygnałów wymaganych do uzgadniania 
sprzętowego i gdyby było ono domyślnie włączo ne, nie mo żna byłoby przez nie 
przesłać żad nych zna ków, by to zmie nić. 

Co dziwniej sze, niek tóre sze re go we pro gra my ko mu ni ka cyj ne nie włączają uzgad niaia 
sprz ę to we go, a więc je żeli tw ój mo dem je obsługu je, po wi nie neś go skon fi gu ro wać 
tak, że by go uży wał (od szu kaj w in struk cji mo de mu właści we po le ce nie), a ta kże 
skon fi gu rujodpowiedniourządzenieszeregowe. Poleceniesfh/ ma znacz nikcrtscts, 
który włącza uzgadnianie sprzętowe w urządzeniu - będziesz musiał go użyć. Po- 
lecenieprawdopodobnie naj lepiej uruchomić z pliku rc.serial (lub równoważnego) 
w cza sie star tu sys te mu za po mocą po le ceń po ka za nych w przykładzie 4-3. 

Przykład 4-3. Przykład o we po le ce nia stty w pli ku rc.se rial 

# 

stty crtscts < /dev/ttyS0 
stty crtscts < /dev/ttySl 
stty crtscts < /dev/ttyS2 
stty crtscts < /dev/ttyS3 
# 

Poleceniesffi/ działa do my śl nie na bieżącym ter mi na lu, ale uży wając funk cji prze 
kie ro wującej we jś cie („<") powłoki, możemy za po mocą stty ope ro wać na do wol¬ 
nym urządzeniu tty. Znak przekierowania „<" często bywał mylony z „>" - na 
szczę ście now sze wer sje stty mają du żo prostszą skład nię ta kie go prze kie ro wa nia. 
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Aby użyć no wej skład ni, mu si my na pi sać naszą przykład ową kon fi gu ra cję tak, jak 
w przykładzie 4-4. 

Przykład 4-4. Przykład po le ce nia stty w pli ku rc.se rial z wy ko rzy sta niem no wej składni 

# 

stty crtscts -F /dev/ttysO 
stty crtscts -F /dev/ttysl 
stty crtscts -F /dev/ttys2 
stty crtscts -F /dev/ttys3 
# 

Wspomnie liś my, że pole ce niestty może być uży wa ne do wy świe tle nia pa ramę trów 
konfiguracyjnych terminala. Aby wyświetlić wszystkie aktywne ustawienia urzą¬ 
dzenia tty, użyj: 

$ stty -a -F /dev/ttySl 

Wynik działania tego po le ce nia, przedstawiony ja ko przykład 4-5, poka zu je stan 
wszystkich znaczników urządzenia. Znacznik poprzedzony znakiem minus, na 
przykład -crtscts, oznac za, że dana opcja jest wyłączo na. 

Przykład 4-5. Wy nik działania po le ce nia stty-a 

speed 19200 baud; rows 0; columns 0; linę = 0; 

intr = A C; quit = "\; erase = A ?; kill = A U; eof = A D; eol = <undef>; 

eol2 = <undef>; start = A Q; stop = A S; susp = A Z; rprnt = A R; 
werase = A W; lnext = A V; flush = A 0; min = 1; time = 0; 

-parenb -parodd cs8 hupcl -cstopb cread cioci -crtscts 

-ignbrk -brkint -ignpar -parmrk -inpck -istrip -inlcr -igncr -icrnl -ixon 
-ixoff -iuclc -ixany -imaxbel 

-opost -olcuc -ocrnl onlcr -onocr -onlret -ofill -ofdel nlO crO tabO 
bsO vt0 ffO 

-isig -icanon iexten echo echoe echok -echonl -noflsh -xcase -tostop 
-echoprt echoctl echoke 

Opis najważniejszych znaczników znajduje się w tabeli 4-2. Każdy z nich jest 
włącza ny przez poda nie w po lec eniu stty i wyłącza ny przez poda nie w po lec eniu 
stty z po przed zającym zna kiem -. Za tern, aby wyłączyć uzgadn ianie sprz ęt owe na 
urządzę niu 11 y S 0 , na pisałbyś: 

$ stty -crtscts -F /dev/ttyS0 

Ko lej ny przykład łączy niektóre z tych znaczników i kon fi gu ru je urządzę nie ttySO 
na 19200 bitów na sekundę, 8 bitów da nych, brak pa rzy sto ści i uzgad nia nie sprz ę to- 
we bez wy pi sy wa nia ode bra nych zna ków u nadaw cy: 

$ stty 19200 cs8 -parenb -crtscts -echo -F /dev/ttyS0 

Ta bela 4-2. Naj wa żniej sze znacz niki w kon fig ura cji urządzeń sze reg owy ch 


Znaczniki 

Opis 

N 

Usta wie nie pręd ko ści łącza na N b/s. 

crtscts 

Włączenie/wyłączenieuzgadnianiasprzętowego. 

ixon 

Włączę nie/wyłączę nie kon tro li przepływu XON/XOFF. 
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Znaczniki 

Opis 

clocal 

Włączę nie / wyłączę nie sy gnałów ste ro wa nia mo de mem, ta kich jak 
DTR/DTS i DVD. Jest to po trzeb ne, je żeli uży wasz „trzy żyłowe¬ 
go" ka bla sze re go we go. 

cs5 cs6 cs7 cs8 

Usta wie nie licz by bitów da nych od po wied nio na 5,6,7 lub 8. 

parodd 

Włączę nie dopełnia nia baj tu do nie pa rzy stej licz by je dy nek. 
Wyłączę nie tego znacz ni ka po wo duje włączę nie dopełnia nia baj tu 
do pa rzy stej licz by je dy nek. 

parenb 

Włączeniesprawdza nia parzystości. Zanegowanietegoznacz ni ka 
powodujenieużywanieparzystości. 

cstopb 

Włączę nie używa nia dwó ch bit ów sto pu na znak. Za ne go wa nie 
tego znacz ni ka po wo du je uży wa nie jed ne go bitu sto pu na znak. 

echo 

Włączę nie/wyłączę nie wysyłania ode bra nych zna ków do nadaw¬ 
cy. 


Urządzeniaszeregowe i monit login: 

Swego czasu instalacja Uniksa wymagała najczęściej jednego serwera i wielu 
„ uprosz czo nych" ter mi na li zna ko wych lubmodemówdopołączeńkomutowanych. 
Obecnie ten typ in sta la cji jest mniej po wszech ny. To do bra wia do mość dla wie lu 
osób za in te re so wa nych taką me todą pra cy, po nie waż „uprosz czo ne" ter mi na le mo 
żna te raz ku pić za gro sze. Kon fi gu ra cje z mo de ma mi nie stra ciły na po pu lar no ści, 
ale dzi siaj są one ra czej uży wa ne do obsługi lo go wa nia przez SLIP lub PPP (co oma¬ 
wia my w roz dzia le 7, IP łącza szeregowego, i w roz dzia le 8, Pro tokółpunkt-punkt), a nie 
do zwykłego lo go wa nia. Nie mniej jed nak ka żda z tych konfi gu ra cji może wy ko rzy- 
sty wać pro sty pro gram o na zwie getty. 

Określenie getty można traktować jako skrót od „get tty". Program getty otwiera 
urządzę niesze reg owe, konfiguruje je wodpowiednisposób, opcjonalnie konfiguru¬ 
je mo dem i cze ka na ze staw ienie połączę nia. Ak tywne połączę nie na urządzę niu 
sze reg owym jest zwy kle wska zy w ane przez wy prow adz enie DCD ( Data Car rier De- 
tect ) wzbu dzan ego urządzę nia sze reg owe go. 

Gdy zo sta nie wy kry te połączę nie, pro gramgef ty wy świe tla mo nit login: i wy wołuje 
program login, aby obsłużył rzeczywiste logowanie do systemu. Każdy terminal 
wirtu al ny (na przykład dev/ttyl ) w Linuksie po sia da działający na je go rzecz pro gram 
getty. 

Istnie je sze reg róż nych im ple men ta cji getty, a ka żda z nich jest za pro jek to wa na tak, 
aby pew ne kon f i gu ra cje obsługi wać le piej niż in ne. Opi sy wa ny tu taj getty no si na zwę 
mgetty. Jest dosyć popularny, ponieważ posiada wszelkie funkcje, które czynią go 
szczególnie przydatnym do obsługi modemów. Między innymi jest wyposażony 
w pro gra my do au to ma tycz nej obsługi fak su i mod emów gloso wych. Skon cen tru je 
my się na kon fi gu ro wa niu mgetty do od po wia da nia na ty po we połączę nia mające na 
ce lu trans mi sję da nych, a całą resz tę po zo sta wia my ci do zba da nia w wol nej chwi li. 
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Konfigurowaniedemonamgetty 

De mon mgetty jest do stęp ny w po sta ci źr ódłowej pod ad re sem ftp://alpha.greenie.netl 
pu b/mgetty/source/, a w ka ż dej dys try bu cji Linuk sa wy stę pu je w po sta ci pa kie tu. De 
mon mgetty różni się od wię k szo ści po zo stałych im ple men ta cji getty tym, że zo stał 
stwo rzo ny spe cjal nie dla modemów kom pa ty bil nych ze standar dem Hay esa. Wciąż 
obsługu je bez po śred nie połączę nia ter mi na lo we, ale naj le pie j na da je się do apli ka cji 
pra cujących po łączu ko mu to wa nym. Za miast uży wać li nii DCD do wy kry wa nia 
przy chodzące go połączę nia, ocze ku je na ko mu ni kat RING ge ne ro wa ny w mo men- 
cie wykrycia nadchodzącego połączenia przez nowoczesne modemy, o ile nie są 
skon figu ro wa ne na au to ma tycz ne od po wia da nie. 

Główny pro gram wy kon ywa lny na żywa się /usr/sbin/mgetty , a jego plik kon fi gu ra- 
cyj ny to /etc/mgetty/mgetty .config. Poza tym jest sze reg in nych pr ogramów bi narn ych 
i pl ików kon fig ura cyj nych, któ re obsługują inne funk cj emgetty. 

W wię k szo ści in sta la cji kon fi gu ra cja po le ga na edy cji pli ku /etc/mgetty/mgetty .config 
i dodaniu odpowiednich wpisów w pliku /etc/inittab, automatycznie uruchamia¬ 
ją cych mgetty. 

Przykład4-6pokazujebardzoprostyplikkonfiguracyjny mgetty dla dwóch urządzeń 
szeregowych. Pierwsze urządzenie /dev/ttyS0, obsługuje modem kompatybilny ze 
stan dar dem Hay esa przy pręd ko ści 38 400 bps. Dru gie, /dev/ttySl, obsługu je bez po- 
śred nio podłączo ny ter mi nal VT100 z pręd ko ścią 19200 bps. 

Przykład 4-6. Przykładowy plik/etc/mgetty/mgetty.con fig 

# 

# plik konfiguracyjny mgetty 

# 

# jest to przykdadowy plik konfiguracyjny, widcej szczegódów 

# znajdziesz w mgetty.info 

# 

# wiersze komentarza zaczynajd sid od puste wiersze sd 

# ignorowane 

# 

# - sekcja ogólna - 

# 

# w tej sekcji umieszczasz ogólne wartePci domydlne, dane 

# dotyczdce portu znajdujd siO dalej 

# 

# modem pracuje z prGdkodeiJ 38400 bps 
speed 38400 

# 

# ustawienie ogólnego poziomu debugowania na "4" (domydlnie z 

# policy.h) 
debug 4 

# 

# - sekcja okredlajdca porty - 

# 

# Tutaj modesz umiedcid ustawienia dotyczPfce tylko danej linii 

# i nie dotyczdce innych 

# 

# 

# Modem Hayesa podddczony do ttySO: bez obsdugi faksu, bez 
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# logowania 

# 

port ttySO 
debug 3 
data-only y 

# 

# bezpośrednie podLDczenie terminala VT100, który potrzebuje 

# DTR 

# 

port ttySl 
direct y 
speed 19200 
toggle-dtr n 

# 

Plik konfiguracyjny zawiera opcje ogólne i specyficzne dla portów. W naszym 
przykładzie użył iśmy opcji ogólnych do ustaw ienia pręd koś ci na 38 400 bit ów na 
sekundę. War tość ta jest dzie dzic zona przez port ttySO. To ustaw ienie pręd koś ci do- 
tyc zy po rt ówmgetty, dopó ki nie zo stan ie ono nad pis ane przez ustaw ienie pręd koś ci 
spe cyf icznej dla por tu, co ro bimy w kon fig ura cji ttySl. 

Słowo kluczowe debug kontroluje liczbę informacji logowanych przez mgetty. 
Słowo kluczowe data-only w konfiguracji ttySO powoduje, że mgetty ignoruje 
wszel kie funk cje fak so we mo de mu, i w związku z tym mo dem prze syła tyl ko da ne. 
Słowo kluczowe direct w konfiguracji ttySl mówi programowi mgetty, aby nie 
próbował inicjować modemu na danym porcie. Wreszcie słowo kluczowe 
toggle-dtr mówi mgetty, aby nie próbował za wieszać linii przy braku sygnału 
DTR ( Data Terminal Re ady) na in ter fej sie sze re go wym. Nie które ter mi na le te go nie 
lubią. 

Możesz ta kże zde cy do wać się na po zo sta wie nie pu ste go pli ku mgetty .config , a wię k- 
szość z tych parametrów okre ślić za po mocą ar gumentów wier sza po le ceń. Do ku- 
men ta cja do tycząca apli ka cji za wie ra pełny opis parametrów pli ku kon fi gu ra cyj ne 
go mgetty i argu mentów wier sza po le ceń. (Patrz frag ment pli ku po niż ej). 

Aby uak ty w nić tę kon fi gu ra cję, mu si my do dać dwa wpi sy do pli ku /etc/inittab. Plik 
inittab jest plikiem konfiguracyjnym po lecenia init Unik sa w wer sji Sys tern V. Po le ce 
nie in it jest od po wie dział ne za ini cja cję sys te mu. Za pew nia au to ma tycz ne uru cha mia 
nie pro gra mów w cza sie star tu sys te mu i po now ne ich uru cha mia nie po za ko ńcze niu 
pra cy. Roz wiąza nie to ide al nie na da je się do obsługi pro gra mu getty. 

TO:23:respawn:/sbin/mgetty ttySO 
Tl:23:respawn:/sbin/mgetty ttySl 

Każdy wiersz pliku /etc/inittab zawiera cztery pola oddzielone dwukropkami. 
Pier w sze po le to iden ty f i ka tor jed no znacz nie okre ślającywpiswpliku.T ra dy cyj nie 
jest on dwu zna ko wy, ale now sze wer sje po zwa łają na za sto so wa nie czte rech znak ów. 
Drugie pole to li sta poziomów uru chomie nia (ang.rwn levels), przy których wpis po- 
wi nien być ak ty w ny.Poziomuruchomieniapo zwa la na różne kon fi gu ra cje sys te mu 
i jest zaimplementowany za pomocą drzewiastej struktury skryptów startowych, 
znaj dujących się wka ta lo gach. / etc/rcl.d, /etc/rc2.d itd. Funk cja ta jest zwy kle im ple 
men to wa na wbar dzo pro sty spo sób i po wi nie neś wzo ro wać swo je wpi sy na in nych 
wpi sach w pli ku lub zaj rżeć do do ku men ta cji, je żeli po trze bu jesz do dat ko wych in- 
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f or ma cji. Trze cie po le opi su je, kie dy za działać. W przy pad ku uru cha mia nia pro gra- 
mu get ty , po le to po win no mieć war tośćrespawn,cooznacza,żepoleceniepowinno 
być au to ma tycz nie uru cho mio ne po no w nie po za ko ńcze niu działania. Ist nie je kil ka 
in nych mo żli wo ści, ale nie są dla nas te raz przy dat ne. Czwar te po le to rze czy wi ste 
po le ce nie do wy ko na nia. Tu taj wpi su je my po le ce nie mgetty ijegoargumenty.W na¬ 
szym pro stym przykładzie ini cju je my i po now nie uru cha mia my mgetty, gdy sys tern 
działa na po zio mie dru gim lub trze cim, a ja ko ar gu men ty po da je my na zwę urządzę 
nia, z którego chcemykorzystać.Polecenie mgetty automatycznie zakłada ścieżkę 
ldevt, a więc nie mu si my jej tu taj po da wać. 

Pod roz dział ten był krótkim omówieniem mgetty i sposobuudostępnieniamonitu 
lo go wa nia dla urządzeń sze re go wych. Wię cej na ten te mat możesz zna le źć w do ku- 
mencie Serial-HO WTO. 

Gdy do kon asz edycji plik ów konfigura cyj nych, mu sisz przeład ow ać pro ces init , aby 
zmia ny były ak tywne. Po pro stu wy ślij sy gnał han gup do pro cesu init. Pro ces ten 
zaw sze ma ID ró wne 1, a więc możesz bez pieczn ie wy dać na stęp ujące po lec enie: 

# kill -HUP 1 



5 

Konfigurowanie sieci 
TCP/IP 



W tym rozdzialepokażemy wszystkie kroki niezbędne do skonfigurowania sieci 
TCP/IP na twoim komputerze. Zaczniemy od przypisania adresów IP, potem 
zajmie my się kon fi gu ro wa niem int er fe js ów sie cio wych TCP/IP i na ko nieć przed sta¬ 
wimy kil ka na rzę dzi, które przy dają się przy roz wiązy wa niu pr ob lemów z sie cią. 
Wię k szość za dań om ów ionych w tym roz dzia le wy ko nu je się zwy kle tyl ko raz. Po 
pli ki kon fi gu ra cyj ne się ga się powtórnie tyl ko wte dy, gdy do da je się no wy sys tern 
do sie ci lub zu pełnie prze konfi gu ro wu je istniejący sys tern. Nie które po le ce nia uży¬ 
wane do konfigurowania TCP/IP muszą być jednak uruchamiane przy każdym 
star cie sys te mu, zwy kle przez ich wy wołanie ze skryptów /etc/rc *. 

Czę ść sie ciowa pro ced ury kon fig ura cyj nej zwy kle jest za warta w skryp cie. Jego na¬ 
zwa za leży od dys tryb ucji Linuk sa. W wie lu star szych dys tryb ucj ach był to skrypt 
rc.net lub rc.inet. Cza sem spo tkasz się ta kże z dwo ma skryp tami o na zwach rc.inetl 
i rc.inetl - pierw szy z nich inic juje czę ść sie ciową związaną z jądrem, a dru gi uru cha- 
mia pod sta w owe usługi sie cio we i aplik acje. We współcze sny ch dys tryb ucj ach pli ki 
rc są uporządkow ane w bar dziej wy raf ino wany sp osób. W ka tal ogu /etc/init.d/ (lub 
/etc/rc.d/rc.init.d/) możesz zna leźć skryp ty tworzące urządzę nia sie ciowe, a inne pli ki 
rc mogą uruchamiać aplikacje sieciowe. Przykłady w tej książce zostały oparte 
właśnie na tym ostatn im porządku plików. 

Ni niej szy roz dział przed sta wia czę ści skryp tu konfi gu rujące in ter fej sy sie cio we, na- 
to miast apli ka cje zo staną om ówione w dal szych roz działach. Po lek tu rze te go roz¬ 
działu bę dziesz znać ze staw po le ceń, za po mocą kt órych po praw nie skon fi gu ru jesz 
siećTCP/IPnaswoimkomputerze.Zatempowinieneśzastąpić wszel kie przykład o- 
we polecenia w swoich skryptach konfiguracyjnych własnymi, upewnić się, że 
skrypt jest uru cha mia ny z pod sta wo we go skryp tu rc w cza sie uru cha mia nia sys te 
mu i po now nie uru cho mić kom pu ter. Skryp ty sie cio werc za war te w two jej ulu bio- 
nej dys try bu cji Linuk sa po win nyża wie rać ide al ny przykład, z którego możesz sko¬ 
rzystać. 
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Montowaniesystemu plików/proc 

Niektóre narzędzia konfiguracyjne NET-2 i NET-3 w Linuksie komunikują się 
z jądrem za po mocą sys te mu pli ków /proc. In ter fejs ten po zwa la na do stęp do ro bo- 
czych in for ma cji jądra przez me cha nizm przy po mi nający sys tern pli ków. Po je go za- 
mon to wa niu możesz oglądać pli ki tak jak w ka żdym in nym sys te mie pli ków lub 
wy świe tlać ich za war tość. Do ty po wych el em entów na leżą: plik loadaug in for mujący 
o śred nim ob ciąże niu sys te mu i plik meminfo po ka żujący ak tu al ne wy ko rzy sta nie 
pa mię ci głów nej i pa mię ci wy mia ny. 

Do tego wszyst kiego kod sie ciowy do daje ka tal og net. Za wiera on sze reg pli ków po¬ 
kaz ujących ta kie rze czy, jak ta blica ARP jądra, stan połączeń TCP oraz ta blice ru- 
tingu. Wię ks zość na rzęd zi do ad min ist rowan ia sie ci od czyt uje po trzebne im in for¬ 
ma cje właśnie z tych plików. 

Sys tern pli k ówproc (zna ny też pod nazwąproc/s) zwy kle jest mon tow any w ka tal ogu 
Iprocw cza sie uruc hami ania sys temu. Naj leps zym spo sob em na zro bien ie tego jest 
do dan ie na stęp ującego wier sza w pli ku /etc/fstab: 

# punkt montowania procfs 

nonę /proc proc defaults 

a na stępn ie wy kon anie mount /proc ze skryp tu /etc/rc. 

Obec nie procfs jest skon fi gu ro wa ny do my śl nie w wię k szo ści jąder. Je żeli w two im 
jądrze nie ma procfs, otrzymasz ko mu ni kat typu: mount: fs type procfs not 
supported by k e r n e 1. Bę dziesz za tem mu siał prze kom pi lo wać jądro i od po wie 
dzieć „yes" na py ta nie o obsługę procfs. 

Instalowanie plików binarnych 

Je żeli ko rzy stasz z do wol nej go to wej dys try bu cji Linuk sa, znaj dziesz w niej główne 
aplikacje i narzędzia sieciowe wraz z odpowiednim ze stawem przykład o wych pli¬ 
ków. Je dy nym przypadkiem,w któr y m może za jść po trze ba zna le zie nia i za in sta Io¬ 
wa nia no wych na rzę dzi, jest in sta la cja no wej wer sji jądra. No we jądro miewa zmia¬ 
ny w war stwie sie cio wej i dla te go na le ży uak tu al nić pod sta wo we na rzę dzia kon fi¬ 
gu ra cyj ne. Uak tu al nie nie ta kie oz na cza przy naj m niej po no wną kom pi la cję, ale cza- 
semtakżewymaganowegozestawuplikówbinarnych.Sąonedostępnenaoficjal nej 
witrynie macierzystej ftp.inka.de/pub/comp/Lmux/networkmg/NetTools/ w po sta ci pa- 
kie tu net-tools-XXX.tar.gz, gdzie XXX to nu mer wer sji. Wer sja dla Linuk sa 2.0 no si 
na zwęnet-tools-1.45. 

Gdy byś ch ciałskom piło waćiza instalować samodzielnie stan dar do we aplikacjesie 
ciowe TCP/IP, mógłbyś zdobyć ich źródła z większości serwerów FTP Linuksa. 
WszystkiewspółczesnedystrybucjeLinuksazawie rają pełny zestawaplika cjisiecio- 
wych TCP/IP, ta kich jak przeglądar ka WWW, pro gra my telnet i ftp oraz in ne aplika¬ 
cje sie cio we, na przykład talk. Je żeli jed nak doj dziesz do wnio sku, że coś mu sisz skom- 
pilować samodzielnie, prawdopodobnie nie będziesz miał z tym problemów 
w Linuksie, jeżeli tylko będziesz postępował zgodnie z instrukcjami zawartymi 
w pa kie cie źr ódłowym. 



PrzypisywanieadresulP 
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Ustalanie nazwy hosta 

Wię ks zość aplik acji sie ciow ych, je żeli nie wszyst kie, oczek uje od cie bie ustaw ienia 
lo kaln ej na zwy ho sta na jakąś sen sowną war tość. Naj lep iej zro bić to w cza sie pro- 
ced ury uruchamiania sys temu przez wy konanie po leceniahostname. Aby ustal ić na¬ 
zwę ho sta na z w a, wpro wadź: 

# hostname nazwa 

Po wszechn ie sto suje się skr óconą na zwę ho sta bez po daw ania na zwy do meny. Na 
przykład ho sty w wir tua lnym bro war ze (opis anym w do datku A, Przykład owa sieć: 
browarwirtualny) mogłyby no sic na zwy vale.vbrew.com czy vlager.vbrew.com. Są 
to ich pełnenazwydomenowe (ang. fullycjualifieddomainnames - FQDN). Nazwa ho sta 
to je dyn ie pierw szy człon pełnej na zwy, czy li na przykład vale. Jed nak choć lo kalna 
na zwa ho sta jest czę sto uży w ana do szu kan ia jego ad resu IP, mu sisz mieć pew ność, 
że bi bliot eka re solvera bę dzie w sta nie zna leźć ad res IP ho sta. Zwy kle oznac za to, że 
mu sisz wpro wad zić na zwę do pli ku /etc/hosts. 

Nie którzy za le cają uży cie po le ce madomainname, by po wia do mić jądro o na zwie do- 
me ny, czy li o po zo stałej czę ści FQDN. Wy da je się, że mo żna by połączyć wy nik host¬ 
name idomainname, aby uzy skać pełną na zwę do me nową. Jed nak w naj lep szym ra zie 
re zultatbyłby tylko w poło wie po prawny. Pole ce nie domainname jest bo wiem uży¬ 
wa ne do de fi nio wa nia do me ny NIS, która może być zu pełnie in na niż do me na DNS, 
do której na le ży host. Dla te go war to za d bać o to, aby na zwa ho sta była roz wiązy¬ 
wał na przez wszyst kie no we wer sje po le ce nia hostname. W tym ce lu na le ży do dać 
wpis do lokalnego serwera nazw domen lub umieścić pełną nazwę domenową 
w pli ku/etc/hosts. Te raz możesz użyć ar gu men tu - f qdn po le ce nia hostname, aby wy- 
świe tlić pełną na zwę do me nową. 

Przypisywaniead resulP 

Je żeli nie pla nu jesz pra cy w sie ci, ale kon fi gu ru jesz opro gra mo wa nie sie cio we na 
swoim hoście, aby na przykład móc uruchomić oprogramowanie INN Netnews, 
możesz bezpiecznie pominąć ten podrozdział, ponieważ jedynym potrzebnym ci 
ad re sem IP bę dzie in ter fejs pę tli zwrot nej, który zaw sze ma nu mer 127.0.0.1. 

Rze czy nie co bar dziej się kom plik ują w rze czy w ist ych sie ciach ta kich jak Et hern et. 
Gdy byś chciał podłączyć swój host do ist niejącej sie ci, mu siałbyś po pros ić ad mini- 
stratorów o na dan ie ci w niej ad resu IP. Je żeli kon fig uru jesz sam całą sieć, mu sisz 
sam przy pis ać ad resy IP. 

Ho sty w sie ci lo kal nej zwy kle po win ny mieć ad re sy z tej sa mej lo giez nej sie ci IP. 
W związku z tym mu sisz przy pi sać ad res IP dla sie ci. Je żeli masz kil ka sie ci fi zycz- 
nych, mu sisz przy pi sać im różne nu me ry sie ci al bo użyć pod sie ci i po dzie lić po sia¬ 
dany za kres ad resów IP na kil ka pod sie ci. Pod sie ci zo staną om ówione w naj bliż¬ 
szym pod roz dzia le. 

Wybór numeru IP sieci w dużym stopniu zależy od tego, czy w niedalekiej 
przyszłości zamierzasz podłączyć się do Internetu. Jeżeli tak, powinieneś uzyskać 
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ofi cjal ny ad res IP już te raz. Po proś o po moc swo je go do staw cę usług in ter ne to wych. 
Je żeli chcesz uzy skać nu mer sie ci po pro stu na wy pa dek, gdy byś kie dyś podłączył 
się do In ter ne tu, po proś o for mu larz pro śby o ad res sie ci, pisząc na ad res host ma- 
ster@internic.net lub zgłoś się do cen trum in for ma cji sie cio wej w two im kra ju, o ile ta¬ 
kie istnieje. 

Je żeli two ja sieć nie jest podłączo na do In ter ne tu i nie no sisz się z ta kim za mia rem, 
możesz wy brać do wol ny do pusz czai ny ad res sie ci. Wy star czy upew nić się, że żad¬ 
ne pa kie ty z two jej sie ci we w nętrz nej nie przed ostaną się do praw dzi we go Inter ne 
tu. Aby za gwa ran to wać, że nic się nie sta nie, na wet je żeli pa kie ty się przed ostaną, 
powinieneś użyć jedne goz numer owsie cizarezerwowanychdlasiecipry watnych. 
Or ga ni za cja zaj mująca się przy dzie la niem nume rów w In ter ne cie (In ternetAssigned 
NumbersAuthority - IA NA) wy zna czyła kil ka adr esów sie ci z kia sy A, B i C, któ¬ 
rych możesz uży wać bez re je stro wa nia. Ad re sy te są wa żne tyl ko w twojej sie ci pry¬ 
wat nej i nie są ru to wa ne po mię dzy praw dzi wy mi ośrod ka mi w In ter ne cie. Są one 
zde fi nio wa ne w RFC 1597. My za mie ści liś my je w ta be li 2-1 w roz dzia le 2, Wybrane 
problemy sie ciTCP/IP. Zauważ, że druga i trzecia klasa zawierająodpowiednio 16 
i 256 sie ci. 

Wy bra nie swo je go ad re su w jed nej z tych siecisprawdzasię nie tyl ko w przy pad ku 
sie ci zu pełnie nie podłączo nych do In ter ne tu. Będąc w ta kiej sie ci, możesz za im ple 
mentować nie co bar dziej ogra ni czo ny do stęp za po mocą jed ne go ho sta ja ko ga te 
waya. Dla two jej sie ci lo kal nej ga te way jest do stęp ny pod swo im we w nętrz nym ad- 
resemIP,natomiastdlaświatazewnętrznego-podoficjalniezarejestrowanymadre 
sem (na da nym ci przez do staw cę). Po wróć imy do te go roz wiąza nia przy oma wia niu 
funkcjimaskowania (ang. masyuarading) w rozdziale 11, MaskowanielPitranslacja 
adresów sieciowych. 

Na potrzeby naszych rozważań zakładamy, że administrator przykładowej sieci 
bro warów używa nu meru sie ci z kia sy B, po wiedzmy 172.16.0.0. Oczywiście nu mer 
z kia sy C w zupełno ści by wy stare zył za równo dla sie ci bro warów, jak i wi niarni. 
Kia sy B używ amy tu dla uproszc zenia. Dzię ki temu przykłady po działu na pod sieci 
po kaz ane w na stępn ym pod rozd ziale będą bar dziej przekonujące. 

Tworzenie podsieci 

Aby obsłużyć kil ka sie ci Et her net (lub in nych, dla których do stęp ny jest ste row nik), 
mu sisz po dzie lić swoją sieć na pod sie ci. Za uważ, że po dział ta ki jest po trzeb ny tyl ko 
wtedy, gdy masz więcej niż jedną sieć rozgłoszeniową - łącza punkt-punkt się nie 
liczą. Na przykład gdy byś miał jedną sieć Et her net i przy najm niej jed no łącze SLIP 
do ś wia ta ze w nętrz ne go, nie mu siałbyś dzie lić swo jej sie ci na pod sie ci. Wy ja śnią my 
to bar dziej szc zegółowo w roz dzia le 7, IPłączaszeregowego. 

Aby obsłużyć dwie sie ci Et hern et, ad min ist rator sie ci bro waru zde cyd ował się prze 
znać zyć w ad res ie 8 bi tów czę ści ho sta na do datk owe bity pod sieci. Dla ho sta zo staje 
8 bi tów, co po zwala na umieszc zenie w ka żd ej pod sieci po 254 ho sty. Na stępn ie sieć 
nu mer 1 zo stała przy pis ana do bro waru, a sieć nu mer 2 do wi niarni. Od pow iednie 
ad resy sie ci to 172.16.1.0 i 172.16.2.0. Ma ska pod sieci to 255.255.255.0. 
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Ga te way po mię dzy ty mid wo ma sie cia mi,vlager, ma w obu sie ciach nu mer ho sta 1, 
coda jeadresylPod po wiednio 172.16.1.1 i 172.16.2.1. 

W tym przykładzie używamy dla uproszczenia sieci klasy B, choć sieć klasy C 
byłaby bar dziej re alis tyczna. W no wym ko dzie sie ciow ym jądra po dział na pod sieci 
nie za le ży od gra nic baj tow ych, a więc na wet kia sa C może być dzie łona na kil ka 
podsieci. Na przykład mógłbyś użyć dwóch bitów części hosta na adres sieci, co 
dałoby 4 mo żliwe pod sieci, po 64 ho sty w ka ż dej*. 

Tworzenie plików hosts i networks 

Jeśli już podzieliłeś swoją sieć na podsieci, powinieneś postarać się o pro ste roz- 
wiązy wan ie nazw ho stów za po mocą pli ku /etc/hosts. Je żeli nie za mier zasz ko rzys tać 
z DN S-u lub NI S-a do roz wiązy wan ia ad res ów, mu sisz umieś cić wszyst kie ho sty 
w pli ku hosts. 

Na wet je żeli bę dziesz uży wał DN S-u lub NI S-a w cza sie nor mai nej pra cy, w pli ku 
/etc/hosts powinieneś mieć pewien podzbiór wszystkich nazw hostów. Mu sisz za¬ 
pewnić roz wiązy wa nie nazw, na wet je żeli nie działają żad ne in ter fej sy sie cio we- na 
przykład w cza sie uru cha mia nia sys te mu. Cho dzi nie tyl ko o wy go dę, ale też o mo- 
żli wość za sto so wa nia sym bolicz nych nazw hostów w skryp tach sie cio wych rc. Dzię¬ 
ki temu gdy zmienisz adresy IP, wystarczyjedynie skopiować uaktualniony plik 
hosts na wszyst kie kom puteryiuruchomićjeponow nie, zamiastedyto wać mnó st wo 
pli ków rc. Zwy kle w pli ku hosts umiesz czasz wszyst kie lo kal ne na zwy ho stów i ad- 
re sy oraz do da jesz ad re sy uży wa nych gat ew ayów i ser we rów NIS**. 

Po wi nie neś się upew nić, że twój re solver w cza sie te sto wa nia przy ini cja cji wy ko- 
rzystuje jedynie informacje z pliku hosts. Przykładowe pliki dostarczane wraz 
z opro gra mo wa niem DNS czy NIS mogą da wać dziw ne re zul ta ty. Aby wszyst kie 
apli ka cje ko rzy stały wyłącznie z /etc/hosts przy po szu ki wa niu ad re su IP ho sta, mu¬ 
sisz do ko nać edy cji pli ku /etc/host.conf. Po prze dź zna kiem ko men ta rza (#) wszystkie 
li nie zaczynające się od słowa kluczowe go order, i wstaw wiersz: 

order hosts 

Kon fig ura cja re solvera jest dokład nie opis ana w roz dziale 6, Usługi na zewn icze i kon¬ 
figurowanie resoloera. 

Plik hosts za wiera po jed nym wpi sie w wier szu, a ka żdy wpis składa się z ad resu IP 
i na zwy ho sta oraz opcjo naln ej li sty al iasów tej na zwy. Pola są od dziel one spa cjami 
albo ta bul ato rami, a pole ad resu musi za czyn ać się w pierw szej ko lumn ie. Wszyst¬ 
ko, co jest po przed zonę hashem, jest uznaw ane za ko ment arz i ignor owa ne. 


* Pierw sza licz ba w ka ż dej pod sie ci to jej ad res, a ostat nia to ad res rozgłoszę nio wy, a więc w pod sie d 
moż na w rze czy wi sto ści umie ścić tyl ko 62 ho sty. 

** Adres ser weraNIS jestpotrzeb ny tylko wtedy, gdy uży waszNYSPeteraEriksso na. Inne implementa¬ 
cje NIS znaj dują swo je ser we ry w cza sie pra cy za po mocą po le ce nia ypbind. 
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Na zwy ho stów mogą być pełne lub względ ne dla do meny lo kaln ej. W przy padku 
valewpro wadziłbyś w pliku hosts pełną na zwę vale.vbrew.com oraz vale, aby host 
był zna ny zar ówno pod nazwą ofic jalną, jak i sk róconą - lo kalną. 

Oto przykład, jak może wyglądać plik hostsdla wirtualnegobrowaru.Dodanodwie 
nazwy specjalne vlager-ifl i vlager-if2, które zawierają adresy obu interfejsów 
uży w any ch na ho ście vlager: 


# 

# Plik hosts 

# 

# IP 

# 

127.0.0.1 

# 

172.16.1.1 

172.16.1.2 

172.16.1.3 
# 

172.16.2.1 

172.16.2.2 

172.16.2.3 

172.16.2.4 


dla wirtualnego browaru/wirtualnej winiarni 


FQDN 

localhost 

vlager.vbrew.com 
vstout.vbrew.com 
vale.vbrew.com 


aliasy 


vlager vlager-ifl 

vstout 

vale 


vlager-if2 

vbeauj olais.vbrew.com vbeauj olais 
vbardolino.vbrew.com vbardolino 
vchianti.vbrew.com vchianti 


Po dobn ie jak w przy padku adre sów IP ho sta, tak i dla nu merów sie ci po win ieneś 
cza sem uży w ać równ ież nazw sym boi iczny ch. Dla tego plik/zos ts po sia da bliźniaczy 
plik /etc/networks, który odwzorowuje nazwy sieci na ich numery i odwrotnie. 
W wir tu al nym bro war ze za ins talo wal iby śmy na stęp ujący plik networks :* 

# /etc/networks dla wirtualnego browaru 
brew-net 172.16.1.0 

wine-net 172.16.2.0 


Konfigurowanieinterfejsu dla IP 

Zgod nie z tym, co na pi sa liś my w roz dzia le 4, Konfigurowanieurządzeńszeregowych, 
po skonfigurowaniu sprzętu musisz zadbać o to, aby oprogramowanie sieciowe 
jądrarozpoznawałourządzenia.Doskonfigurowaniainterfejsówsieciowychizaini- 
cjo wa nia ta bli cy ru tin gu sto su je się kil ka po le ceń. Zada nia te zwy kle są wy ko ny wa- 
ne ze skryp tu ini cjujące go sieć ka żdo ra zo wo pod czas uru cho mie nia sys te mu. Pod¬ 
stawo we narzędzia do te go celu toz/cozz/z^ (gdzie if jest skrótem od interfejs) i route. 

Po le ce nie if config jest uży wa nedoudostęp nie nia in ter f ej su war stwie sie cio wej jądra. 
Wy ma ga to przy pi sa nia adresuIPizdefi nio wa nia in nych pa rametrów oraz ak ty wa cji 
interfejsu, często nazywanej także „podniesieniem" interfejsu. Interfejs aktywny 
ozna cza tu taj, że jądro bę dzie przez nie go wy syłało i od bie rało da ta gra my IP. Oto 
naj prost sza pro ce du ra te go zadania: 
ifconfig interfejs adres-IP 


Pamiętaj, że na zwy w pli ku networks nie mogą kłócić się z na zwa mi z pli kuhosts, gdyż niektóre pro gra¬ 
my mogłyby się dziw nie za cho wy wać. 




Kon figurowaniem terfejsudla IP 


67 


Pole cenie to przy pisu je a dres-IP do in ter f ej su i go akty wu je. Wszystkie pozo¬ 
stałe pa ra me try są usta wia ne na war to ści do my śl ne. Na przykład do my śl na ma ska 
sie ci jest usta la na na pod sta wie kia sy sie ci, do której na le ży poda ny ad res IP, czy li 
255.255.0.0 dla kia sy B. ifconfig jest opi sa ne szc ze gółowo w pod roz dzia le Wszystko 
o ifeon fig. 

Pole ce nierout epo zwa la na do da nie lub usu nię cie tra sy z ta bli cy ru tin gu jądra. Mo ż- 
na wy wołać je na stę pująco: 

route [add|del] [-net|-host] przeznaczenie [if] 

Argumenty add i del okre ślają, czy na le ży do dać, czy też usunąć tra sę do prze¬ 
znaczenia. Argumenty -net i -h os t mówią po leceniu route, czy przeznacze¬ 
nie to sieć, czy host (do my śl nie, je żeli nic nie po dasz, przyj mo wa ny jest host). Ar gu- 
ment i f jest opcjo nal ny i po zwa la na poda nie in ter fej su sie cio we go, do którego po- 
win na zo stać prze kie ro wa nadana tra sa - jądro Linuk sa rozsądnie zga duje, je żeli nie 
po dasz tej in for ma cji.Temat tenzosta nie szcze gółowo wy ja śnio ny w ko lej nych pod¬ 
rozdziałach. 

Inter fejspętlizwrotnej 

W pierw szej ko lej no ści ak ty wo wa ny jest in ter fejs pę tli zwrotnej: 

# ifconfig lo 127.0.0.1 

Może się zda rzyć, że za miast ad re su IP zo ba czysz fik cyjną na zwę ho sta localhost. 
ifconfig będzie szukać nazwy w pliku hosts, gdzie powinien znajdować się wpis 
wiążący tę na zwę z ad re sem 127.0.0.1. 

# PrzykDadowy wpis localhost w /etc/hosts 

localhost 127.0.0.1 

Aby obejrzećkonfiguracjęinterf ejsu, wywołujesz po lec enieifconfig, po dając jako ar- 
gum ent je dyn ie na zwę in terf ejsu. 

$ ifconfig lo 

lo Link encap:Local Loopback 

inet addr:127.0.0.1 Mask:255.0.0.0 
UP LOOPBACK RUNNING MTU:3924 Metricrl 
RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 
Collisions:0 

Jak wi dzisz, in ter fej so wi pę tli zwrot nej zo stała przy pi sa na ma ska sie ci 255.0.0.0, po- 
nie waż ad res 127.0.0.1 na le ży do kia sy A. 

Te raz w za sad zie możesz zacząć za bawę ze swoją minisie cią. Wciąż jed nakbra kuje 
wpi su w ta blicy ru tingu, mówiącego IP, że może używ ać tego in terf ejsu jako tra sy 
do ad resu 127.0.0.1. Mo żna go do dać na stęp ująco: 

# route add 127.0.0.1 

Znów możesz użyć localhost za miast ad resu IP, pod wa runk iem, że wpi sałeś go do 
pli ku/etc/hosts. 
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Następnie powinieneś sprawdzić, czy wszystko poprawnie działa, na przykład 
uży w ając po lec enia ping. Po lec enie to spraw dza, czy poda ny ad res jest rze czy w iście 
osiągał ny, i mie rzy opó źnienia wy stęp ujące przy wysyłaniu da tag ramu na ten ad res 
i z powrotem. Czas potrzebny do wykonania tego zadania jest często nazywany 
„cza sem prze wid zianym na trans mis ję i po twierd zenie przyjęć ia" (ang. round-trip 
time ): 

# ping localhost 

PING localhost (127.0.0.1): 56 data bytes 
64 bytes from 127.0.0.1: icmp_seq=0 ttl=255 time=0.4 ms 

64 bytes from 127.0.0.1: icmp_seq=l ttl=255 time=0.4 ms 

64 bytes from 127.0.0.1: icmp_seq=2 ttl=255 time=0.4 ms 

A C 

- localhost ping statistics - 

3 packets transmitted, 3 packets received, 0% packet loss 
round-trip min/avg/max = 0.4/0.4/0.4 ms 

# 

Kie dy ping zo sta nie wy wołane w po ka za ny tu sposób, bę dzie wy syłało pa kie ty do¬ 
póty, do póki użyt kow nik nie prze rwie wy ko ny wa nia po le ce nia. Znak A C pokazuje, 
gdzie na ci snę liś my [CTRL+C]. 

W tym przykładzie wi dać, że pa kiety są po prawn ie do stare zane na ad res 127.0.0.1, 
a od po wie dź jest zwra cana na tychm iast. To znak, że prawidłowo skon fig uro wałeś 
swój pierwszy interfejs sie ciowy. 

Je śli wy nik po lec eniapingnie przy pom ina po kaz ane go w po wyż sz y m przykładzie, 
zna czy to, że masz kłopot. Spraw dź wszel kie od stęps twa - czy nie wska żują one, że 
ja kieś pliki nie zostały po prawnie za instalowane? Sprawdź, czy bi nar ia ifconfig i ro- 
ute, których uży wasz, są kom pat ybi lne z twoją wer sją jądra, a przede wszyst kim, 
czy jądro zo stało skom pil owa ne z obsługą sie ci (po win ieneś mieć ka tal og/proc/net). 
Je żeli otrzym asz ko mun ikat o treś ci „Ne twork un rea ch able", praw dop odo bnie zro¬ 
biłeś coś nie tak w po le ce niu route. Spraw dź, czy użyłeś tego sa mego ad re su, który 
podałeś w ifconfig. 

Przedstawionaprocedurapowinnaumożli wić ci ko rzy sta nie z apli ka cji sie cio wych 
na pojedynczym hoście. Po dodaniu wcze śniej wspo mnia nych li nii do skryp tu ini¬ 
cjującego sieć i upew nie niu się, że zo sta nie on uru cho mio ny w cza sie star tu, możesz 
ponownie uru cho mić swój kom pu ter i wyp ró bować róż ne apli ka cje. Na przykład 
telnet localhost powinno zrealizować połączenie telnet z twoim hostem, pokazując 
mo nit login:. 

Jed nak in terf ejs pę tli zwrot nej jest przy datny nie tył ko jako przykład w książkach 
o sieci czy do testowania oprogramowania, ale jest rzeczywiście używany przez 
niektóre aplik acje w cza sie nor maln ej pra cy*. Dla tego zaw sze mu sisz go kon fig uro- 
wać bez wzglę du na to, czy two ja ma szyna jest podłączo na do sie ci, czy nie. 


Na przykład wszyst kie apli ka cje opar te na RPC wy ko rzy stują in ter f ejs pę tli zwrot nej do rejestrowania 
się w de mo nie portniapper w cza sie star tu. Do apli ka q'i tych na leżą NlS i NFS. 
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Interfejsy Ethernet 

Kon fi gu ro wa nie in ter fej su Et her net jest pra wie iden tycz ne z kon fi gu ro wa niem in- 
ter fej su pę tli zwrot nej. Wy ma ga je dy nie wpro wa dze nia kilkudodatko wy ch par a- 
me trów, je żeli uży wasz po działu na pod sie ci. 

W wir tua lnym bro war ze po dziel iii śmy oryg ina Iną sieć IP kia sy B na pod sieci o po¬ 
staci sie ci kia sy C. Aby in terf ejs roz poz nał po dział na pod sieci, wywołanie ifconfig 
po winno być na stęp ujące: 

# ifconfig ethO vstout netmask 255.255.255.0 

PolecenietoprzypisujeinterfejsowiefłzOad res IP vstout (172.16.1.2). Gdybyś my po¬ 
miń ęli ma skę sie ci,ifconfigzre duk owałoby ma skę sie ci na pod staw ie ad resu IP i uzy- 
skalibyśmyniepoprawnąmaskępostaci255.255.0.0. Te raz szyb ko sprawdzamy wy¬ 
nik: 

# ifconfig ethO 

ethO Link encap lOMps Ethernet HWaddr 00:00:CO:90:B3:42 

inet addr 172.16.1.2 Bcast 172.16.1.255 Mask 255.255.255.0 
UP BROADCAST RUNNING MTU 1500 Metric 1 
RX packets 0 errors 0 dropped 0 overrun 0 
TX packets 0 errors 0 dropped 0 overrun 0 

Możesz zauważyć, że ifconfig automatycznie ustawia adres rozgłoszeniowy (pole 
Bcast) na typową wartość, która składa się z numeru sieci hosta i ustawionych 
wszyst kich bitów w czę ści nu me ru ho sta. Ta kże mak sy mai na jed nost ka trans mi sji 
(maksymalny roz miar dat agramów IP two rzo nych dla in ter fej su przez jądro) zo¬ 
stała ustawiona na maksymalny rozmiar pakietów Ethernet: 1500 bajtów.Zwykle 
bę dziesz uży wał war to ści do my śl nych, ale w ra zie po trze by możesz je zmie nić za 
po mocą spe cjal nych opcji, które zo staną opi sa ne wpod roz dzia le Wszyst ko o ifconfig. 
Tak jak przy kon fig ura cji in terf ejsu pę tli zwrot nej, mu sisz te raz utwór zyć wpis w ta¬ 
blicy rutingu mówiący jądru o sie ci, któ ra jest osiągał na przez ethO. W przy padku 
wir tua lne go bro waru możesz wywołać po lec enieronfena stępująco: 

# route add -net 172.16.1.0 

Z początku wygląda to nie co ta jemn iczo, po niew aż nie jest zupełnie ja sne, jakronfe 
wy kry wa in terf ejs, przez który ma prze syłać pa kiety. Jed nak cały za bieg jest ra czej 
prosty: jądro sprawdza wszystkie interfejsy, które zo stały do tej pory skon fig uro- 
wane, i poro wnu je ad res do cel owy (w tym przy padku 172.16.1.0) z czę ścią sie ciową 
ad resu in terf ejsu (to zna czy wy kon uje bi tową lo giczną oper ację AND na ad res ie in- 
terf ejsu i ma sce sie ci). Je dyn ym pa sującym in terf ejsem jest ethO. 

A do cze go służy opcja -net? Jest ona po trzeb na, po nie ważroute może obsłużyć obie 
tra sy: do sie ci i do po je dyncze go ho sta (co wi działeś wcze śniej przy localhost). Kie¬ 
dy po da my ad res w no ta cji krop ko wej,ronfe pr obuje zgadnąć, czy jest to ad res sie ci 
czy ho sta, patrząc na bi ty czę ści ho sta.Je żeli w ad re sie czę ść ho sta jest ze ro wa, route 
zakłada, że cho dzi o ad res sie ci- w prze ciw nym ra zi eroute uzna je go za ad res ho sta. 
Dlatego route uznałoby, że 172.16.1.0 to ad res ho sta, a nie ad res sie ci, po nie waż nie 
wie, że za sto so wa liś my po dział na pod sie ci. Mu si my po wie dzieć jaw nie, że cho dzi 
o sieć, a więc po da je my opcję -net. 
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Oczy wiście wpisy wa nie pole ceniaronfe jest nużące i łatwo przy tym o po myłkę. Wy¬ 
gód niej sze jest uży cie nazw sie ci, któ re zde fi nio wa liś my w /etc/networks. Po le ce nie 
sta je się bar dziej czy teł ne i mo żna na wet po minąć opcję -net, po nie waż rou te wie, że 
172.16.1.0 ozna cza sieć. 

# route add brew-net 

Te raz, gdy już masz za sobą pod sta wo we kro ki kon fi gu ra cyj ne, upewnj się, że in ter- 
fejs Ethernet naprawdę działa poprawnie. Wybierz jakiś host ze swojej sieci, na 
przykład vlager, i na pisz: 

# ping vlager 

PING vlager: 64 byte packets 

64 bytes from 172.16.1.1: icmp_seq=0. time=ll. ms 
64 bytes from 172.16.1.1: icmp_seq=l. time=7. ms 
64 bytes from 172.16.1.1: icmp_seq=2. time=12. ms 
64 bytes from 172.16.1.1: icmp_seq=3. time=3. ms 
A C 

- vstout.vbrew.com PING Statistics - 

4 packets transmitted, 4 packets received, O 
round-trip (ms) min/avg/max = 3/8/12 

Jeżeli tw ój wy nik się różni, coś jest nie tak. Je żeli za uwa żysz, że współczyn nik 
utrą ty paki etów ma jakąś nie praw do po dobną war tość, wska zu je to na pro blem 
sprz ę to wy, na przykład złe ter mi na to ry w przy pad ku ka bla ws pólosio we go lub 
ich brak. 

Je żeli nie uzy skasz w ogó le żad nych od po wie dzi, po wi nie neś spraw dzić kon fi gu ra¬ 
cję in ter fej su za po mocą po le ce nia netstat (patrz pod roz dział Polecenienetstat w tym 
roz dzia le). Sta ty sty ka pak ie tów po ka za na przez ifconfig po win na po wie dzieć ci, czy 
ja kieś pa kie ty zo stały w og óle wysłane przez in ter fejs. Je żeli masz również do stęp do 
zdalnegohosta,powinieneśpodejśćdoniegoisprawdzićstatystykiinterfejsu. Wten 
sposób możesz dokładnie stwierdzić, gdzie pa kie ty zostały zgubione. Po nad to za 
pomocąpolecenia rou t e po wi nie neś wy świe tlić in f or ma cje o ru tin gu i zo ba czyć, czy 
oba ho sty mają po praw ne wpi sy do tyczące ru tin gu. route wy świe tli pełną ta bli cę ru- 
tin gu jądra, je żeli zo sta nie wy wołane bez argumentów ( -n po wo du je je dy nie, że są 
dru ko wa ne ad re sy w po sta ci nu me rycz nej, a nie na zwy ho stów): 

# route -n 

Kernel routing table 

Destination Gateway Genmask Flags Metric Ref Use Iface 

127.0.0.1 * 255.255.255.255 UH 1 0 112 lo 

172.16.1.0 * 255.255.255.0 U 1 0 10 ethO 

Znaczenie pos zez ególnych pól zo sta nie wy ja śnio ne da lej w pod roz dzia le Polecenie 
netsta t. Ko lum na F1 a g s za wie ra li stę zn aczników usta wio nych dla ka ż de go in ter fej- 
su. u zawsze jest usta wionę w przy pad ku aktyw nych interfejsów, a Hmó wi, że ad re- 
sem docelowym jest adres hosta. Jeżeli znacz nik H jest ustawiony dla trasy, która 
miała być trasą do sie ci, musisz po nowniewydaćpolecenieronfe z opcją-net. Aby do¬ 
wie dzieć się, czy wpro wa dzo na tra sa jest w ogóle uży wa na, spraw dź, czy war tość 
po laU s e w dru giej ko lum nie od ko ńca zwię k sza się po mię dzy wy wołania mi po le ce 
nia ping. 
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Rutingprzezgateway 

W poprzednim podrozdziale omówiliśmy konfigurację hosta podłączonego do 
jed nej sie ci Et her net. Czę sto się jed nak zda rza, że sie ci są ze sobą polączo ne. Służą 
do te go ga te waye, kt óre łączą po pro stu dwie lub wię cej sie ci Et her net, ale mogą 
ta kże sta no wić po most do świa ta ze w nętrz ne go, na przykład do In ter ne tu. Aby wy¬ 
ko rzy stać ga te way, mu sisz po dać war stwie sie cio wej do dat ko we in f or ma cje o ru tin- 
g u - 

Sie ci Et her net na leżące do wir tu al ne go bro wa ru i wir tu al nej wi niar ni są polączo ne 
ta kim właśnie ga te way em. No si on na zwę vlager . Zakład ając, że vlager zo stał już 
skonfigurowany,musimypoprostudodaćdotablicyrutinguvstout wpis, który po- 
in for mu je jądro, jak może do stać się przez vlager do wszyst kich hostów w sie ci wi¬ 
niarni. Od po wiednie wy wołanie po lecenia route zostało po ka za ne po niż ej. Słowo 
klu czo we g w mówi, że na stęp ny ar gu ment ozna cza ga te way: 

# route add wine-net gw vlager 

Oczyw iście do wolny host w sie ci wi niarni, z kt órym się chcesz połączyć, musi mieć 
wpis do tyczący tra sy do sie ci bro waru. W prze ciwn ym ra zie bę dziesz w sta nie je 
dyn ie wysłać dane z sie ci bro waru do sie ci wi niarni, ale ho sty w sie ci wi niarni nie 
będą w sta nie od pow iedz ieć. 

Przykład ten opi su je tył ko ga te way, kt óry prze ka żuje pa kie typomiędzydwoma wy 
izo lo wa ny mi sie cia mi Et her net. Załóżmy te raz, żevlager ma ta kże połączę nie z In¬ 
ter ne tern (przyj mij, że przez do dat ko we łącze SLIP). W ta kim ra zie chce my, aby da¬ 
ta gra my ad re so wa ne do dowolnego miej sca po za sie cią bro wa ru były obsługi wa ne 
przez vlager. Mo żna to zro bić, de fi niując ten ga te way ja ko do my śl ny dlavstout: 

# route add default gw vlager 

Na zwa sie ci default sta nowi skr ót dla ad resu 0.0.0.0 , kt óry oznac za tra sę do myś Iną. 
Do myś Ina tra sa pa suje do ka żd ego ad resu do cel owe go ibę dzie uży w ana, je żeli w ta¬ 
blicy ru tingu nie ma dokład niejs zej tra sy. Nie mu sisz do daw ać tej na zwy do pli ku 
/etc/networks, po niew aż jest ona wbu dow ana w po lec enie route. 

Je żeli po le ce nie ping skie ro wa ne do ho sta znaj dujące go się za jed nym lub kil ko ma 
ga te way ami po ka zu je, że du żo pa kietów jest gu bio nych, może to ozna czać, że sieć 
jest za pcha na. Gu bie nie pa kie tów nie wy ni ka z wad tech nicz nych, ale z tym cza so¬ 
wę go prze ciąże nia ho stów prze ka żujących, które po wo du je op óź ni enia, a na wet gu¬ 
bię nie przy chodzących pakietów. 

Konfigurowaniegatewaya 

Skonfigurowaniema szyny, która przekazu je pa kie ty pomiędzy dwoma sie cia mi 
Ethernet, jest do syć pro ste. Wró ćmy do ho sta vlager , któ ry jest wy po sa żony w dwie 
kar ty Et her net, a ka żda z nich jest podłączo na do jed nej z dwó ch sie ci. Mu sisz je dy¬ 
nie skon fi gu ro wać od dziel nie obie kar ty i na dać im od po wied nie ad re sy IP oraz wy¬ 
zna czyć trasy. 
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Do syć przy datne jest do dan ie in form acji o obu in terf ejsa ch do pli ku hosts, by mieć 
pod ręką łatwe do za pam ięta nia na zwy, co po kaz ano w po niżs zym przykładzie. 

172.16.1.1 vlager.vbrew.com vlager vlager-ifl 

172.16.2.1 vlager-if2 

Aby skon fig uro wać te dwa in terf ejsy, na leży wy dać na stęp ujące po lec enia: 

# ifconfig ethO vlager-ifl 

# route add brew-net 

# ifconfig ethl vlager-if2 

# route add winę-net 

Je żeli te po lec enia nie działają, spraw dź, czy jądro zo stało skom pil owa ne z włączoną 
opcją prze kaz ywa nialP (ang. IPforwarding). W tym celu upewn ij się, czy pierw sza 
licz ba w dru gim wier szu pli ku /proc/net/snmp jest ustaw iona na 1. 

InterfejsPLIP 

Łącze PLIP uży wa ne do połączę nia dwó ch kom puterów róż ni się nie co od Et her ne 
tu. Łącza PLIP na leżą do łączy typu punkt-punkt, co ozna cza, że na ka żdym ko ńcu 
ta kie go łącza jest je den host. Sie ci ty pu Et her net są na zy wa ne sie cia mi rozgłoszę nio- 
wymi Kon figu racja łączy punkt-punkt jest inna, po nie waż w od różnieniu od sie ci 
rozgłoszę nio wych nie tworzą one własnej sie ci. 

PLIP to bar dzo ta nie i prze no śne łącze po mię dzy kom pu te ra mi. Ja ko przykład roz- 
wa żmy kom pu ter ty pu lap top na leżący do pra cow nikawirtualnegobrowaru. Kom 
pu ter ten jest podłączo ny do ho stavlager przez łącze PLIP. Sam lap top na zy wa się 
vlitei ma tyl koję den port równoległy. W cza sie uru cha mia nia sys te mu port ten re je 
stru je się ja ko plipl. Aby uak ty w nić łącze, mu sisz skon fi gu ro wać in ter te]splipl, uży¬ 
waj ąc po niż szych po le ceń*: 

# ifconfig plipl vlite pointopoint vlager 

# route add default gw vlager 

Pierw sze po le ce nie kon fi gu ru je in ter fejs mó wiąc jądru, że jest to łącze punkt-punkt 
i że dru ga stro na ma ad res vlager. Drugie poleceniedodaje do my ślną tra sę, uży¬ 
wając ho sta vlager ja ko ga te waya. Do uak tyw nie nia łącza na ho ście vlager nie zbęd¬ 
ne jest po dob ne po le ce nie ifconfig (wy wołanie rou te nie jest po trzeb ne): 

# ifconfig plipl vlager pointopoint vlite 

Za uważ, że in ter łejsplipl na ho ście vlager nie po trze bu je od dziel ne go ad re su IP, ale 
można mu na dać ró wnieżadresl72.16.1.1. Łącza punkt-punkt nie obsługują bezpo- 
śred nio sie ci, a więc in ter fej sy nie wy ma gają ad re su. Jądro wy ko rzy stu je in for macje 
o in ter fej sie za war te w ta bli cy ru tin gu, aby uniknąć ja ki chś po myłek**. 


* Pisownia pointopoint nie jest błędna. Tak się po pro stu pi sze. 

** Ostro żność na ka zu je skon fi gu ro wać łącze PLIP czy SLIP do pie ro wte dy, gdy w pełni skon figurujesz 
wpi sy w ta bli cy ru tin gu dla kart Et her net. W prze ciw nym ra zie w ni ektórych star szych ją drach two ja 
tra sa mogła się ko ńczyć, wska żując na łącze punkt-punkt. 
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Skon fig uro wal iśmy już ru ting z lap topa do sie ci bro waru. Wciąż jed nak nie mamy 
tra sy z do woln ego ho sta bro waru do vlite. Do daw anie ta kiej tra sy w ta blicy ru tingu 
ka żd ego ho sta jest wyjątkowo kłopot liwe. Trze ba byłoby tam wska zać, że vlager jest 
ga tew ayem dla vlite: 

# route add vlite gw vlager 

Dla tras tymczasowychlepszy jest rutingdynamiczny.Nakażdymhościewsieci 
można zainstalowaćdemonarutinguyafed, który będzie dynamicznie rozpowszech¬ 
niał in for ma cje o ru tin gu. Prost szym wy jś ciem jed nak jest uży cie proxy ARP (Add ress 
ResolutionProtocol). Dzię ki proxy ARP, vlager będzie od powiadał na każ de za pyta¬ 
nie ARP o vlite, wy syłając własny ad res Et her net. Wszyst kie pa kie ty dla vlite będą 
do cie rały do vlagera, któ ry na stęp nie bę dzie je prze ka zy wał do lap to pa. Do proxy 
ARP powrócimy w pod roz dzia le Sprawdza nie ta blicARP. 

Obec na wer s]anet-tools za wie ra na rzę dzie o na zwi eplipconfig po zwa łające na usta wie 
nie od po wied nich pa ra metr ów cza so wych PLIP. IRQ dla por tu rów noległego mo żna 
usta wić za po mocą po le ce nia ifconfig. 

In ter fej sy SLIP i PPP 

Choć łącza SLIP i PPP są, tak jak PLIP, je dy nie pro sty mi łącza mi ty pu punkt-punkt, 
mo żna o nich po wie dzieć du żo wię cej. Zwy kle usta no wie nie połączę nia SLIP wy¬ 
maga za dzwo nie nia do dru giej stro ny przez mo dem i usta wie nia try bu SLIP dla 
łącza sze re go we go. Z PPP ko rzy sta się po dob nie. SLIP i PPP oma wia my dokład niej 
w roz działach 7 JPłączaszeregowego, i 8, Protokół punkt-punkt. 

In terfejsfikcyj ny (ang .dummyinterface) 

Interfejs fikcyjny (ang. dummyinterface) jest nie co egzotyczny, ale jed nak przydatny. 
Jego główną zaletą w przypadku pojedynczych hostów i komputerów posia¬ 
dających je dy nie podłączę nie do sie ci IP jest łącze ko mu to wa ne. W rze czy wi sto ści 
prze wa żnie obsługu je po je dyn cze ho sty. 

Pro blem z po jed yncz ymi ho stami po lega na tym, że mają one ak tywne tył ko jed no 
urządzę nie sie ciowe - in terf ejs pę tli zwrot nej, które mu zwy kle jest przy pis ywa ny 
ad res 127.0.0.1. Cza sami jed nak mu sisz wysłać dane na „oficjalny" ad res IP ho sta lo- 
kaln ego. Na przykład załóżmy, że lap top vlite zo stał chwi Iowo odłączo ny od sie ci. 
Aplik acja na vlite może te raz chcieć wysłać dane do in nej aplik acji na tym sa mym 
ho ście. Spraw dzenievlite w pliku /etc/hosts daje ad res IP 172.16.1.65, a więc aplik acja 
próbu je wysyłać dane na taki ad res. Po niew aż in terf ejs pę tli zwrot nej jest obecn ie je 
dynym aktywnym in terf ejsem w tym kom put erze, jądro nie ma po jęc ia, że ad res 
172.16.1.65 tak na prawdę od nosi się do tej sa mej ma szyny! W kon sek wencji jądro 
od rzuca da tag ram i zwra ca do aplik acji ko mun ikat o błędzie. 

Tu właśnie przy da je się in ter fejs fik cyj ny. Roz wiązu je on problem wy ko rzy stując in 
terfejs pętli zwrotnej. W przypadku vlite, po prostu nadajesz interfejsowi adres 
172.16.1.65 i do da jesz tra sę, tak by na nie go wska zy wała. Ka żdy da ta gram prze zna- 
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czo ny dla ad re su 172.16.1.65 bę dzie od tej chwi li do star czo ny lo kal nie. Oto po praw¬ 
ne wy wołanie*: 

# ifconfig dummy vlite 

# route add vlite 

Alias IP 

No we jądra obsługują funk cję, która może za stąpić in ter fejs fik cyj ny i pełnić in ne 
uży tęcz ne ro le. Alias IP po zwa la na skon fi gu ro wa nie wie lu adr esów IP na jed nym 
urządzę niu fi zycz nym. W naj prost szym przy pad ku mo żna in a czej zre ali zo wać in- 
ter fejs fik cyj ny. Wy star czy skon fi gu ro wać ad res ho sta ja ko alias dla in ter fej su pę t li 
zwrotnej i możesz zupełnie zrezygnować z interfejsu fikcyjnego. W bardziej 
złożonych za sto so wa niach mógłbyś skon fi gu ro wać swój host tak, by wyglądał jak 
in ne ho sty, ka żdy o swo im własnym ad re sie IP. Kon fi gu ra cja ta ka jest cza sem na zy- 
wana tworzeniem hostów wirtualnych, choć technicznie jest również używana 
w wie lu in nych ce lach**. 

Aby skon fig uro wać alias dla in terf ejsu, mu sisz naj pierw spraw dzić, czy jądro zo¬ 
stało skon fig uro wane z obsługą alia sów IP (spraw dź, czy masz plik / proc/net/ip_alias ; 
jeżeli nie - trze ba po nown ie skom pil ować jądro). Kon fig ura cja aliasu IP prze biega 
tak samo jak konfiguracja normalnego urządzenia sieciowego. Je dyna różni ca po¬ 
lega na użyć iu spe cjaln ej na zwy wska żującej, że jest to alias. Na przykład: 

# ifconfig lo:0 172.16.1.1 

To polecenie utworzy alias o adresie 172.16.1.1 dla interfejsu pętli zwrotnej. 
Aliasy IP są oznac zane przez do dan ie :n do rzeczywistej na zwy urządzę nia sie¬ 
ciowego, gdzie „n" jest liczbą całkowitą. W naszym przykładzie tworzymy alias 
o nu mer ze 0 dla urządzę nia sie ciow ego 1 o. Dzię ki nu mer acji po jed yncze urządzę 
nie fi zyczne może obsłużyć wie le ali asów. 

Ka żdy alias może być trak to wa ny ja ko od dziel ne urządzę nie i z punk tu wi dze nia 
oprogramowania IP jądra tak właśnie jest. Bę dzie jed nak współdzie lił sprzęt z in¬ 
ny m in ter fej sem. 

Wszystko o ifconfig 

Polecenie ifconfig ma du żo wię cej par ametrów, niż opi sa liś my do tej po ry. Ty po we 
wy wołanie wygląda tak: 

ifconfig interfejs [adres [ parametry ]] 


* Urządzę nie fik cyj ne nosi na zwę dummy0, je żeli zalad o wałeś jego ste row nik jako moduł, a nie wbu do- 
wałeś w jądro. Nu me ra cja jest po trzeb na, po nie waż możesz zalad o wać wie le modułów i mieć więcej 
niż jed no urządzę nie fik cyj ne 

** Używa nie ali as ówIP bar dziej po praw nie jest na zy wa ne two rze niemhos tów wir tu al nych w war stwie 
sie cio wej. W ś wie cie WWW i STMP bar dziej po pu lar ne jest two rze nie hos tów wir tu al nych używanych 
w war stwie apli ka cji, gdzie ten sam ad res IP jest uży wa ny dla ka ż de go ho sta wir tu al nęgo, ale przy ka ż- 
dym żąda niu war stwy apli ka cji jest po da wa na inna na zwa ho sta. Usługi ta kie jak FTP nie są w sta nie 
działać w ten sposobi wy magająhost ów wir tu al nych w war stwie sie cio wej. 
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Oczywiste jest, że interfejs to nazwa interfejsu, a adres to nazwa adresu IP 
przy pis ane go in terf ejso wi. Może być to ad res w po staci licz bow ej lub na zwa, którą 
ifconfig od najd zie w pli ku /etc/hosts. 

Gdyby śmy wy wołali ifconfigtyl ko z nazwą in ter fej su, zoba czy liby śmy konfi gu ra cję 
in ter f e j su. Przy wy wołaniu bez parametrów ifconfig wy ś wie tła wszyst kie in ter fej sy, 
ja kie masz do tej po ry skon fi gu ro wa ne. Opcja -a wy mu sza ró wn ież po ka za nie inter¬ 
fejsów nieaktywnych. Przykładowe wywołanie dla interfejsu Ethernet ethO może 
wyglądać na stę pująco: 

# ifconfig ethO 

ethO Link encap lOMbps Ethernet HWaddr 00:00:CO:90:B3:42 

inet addr 172.16.1.2 Bcast 172.16.1.255 Mask 255.255.255.0 
UP BROADCAST RUNNING MTU 1500 Metric 0 
RX packets 3136 errors 217 dropped 7 overrun 26 
TX packets 1752 errors 25 dropped 0 overrun 0 

Po la MT U i Me t r i c po ka żują ak tu al ne war to ści MTU i me try ki in ter fej su. Me try ka 
jest tra dy cyj nie uży wa na przez niektóre sys te my ope ra cyj ne do ob li cze nia kosz tu 
tra sy. Li nux nie ko rzy sta z tej war to ści, ale de fi niu je ją dla za cho wa nia kom pa ty bil- 
ności. 

Wiersze RX i TX pokazują, ile pakietów zostało pomyślnie odebranych i wy¬ 
słanych, ile wystąpiło błędów, ile pakietów zo stało po mi nię tych (praw do po dob¬ 
nie ze wzglę du na brak pa mię ci), a ile zo stało zgu bio nych ze wzglę du na prze¬ 
ciążenie. Przeciążenia odbiorcy występują zwykle wtedy, gdy pakiety nad¬ 
chodzą szyb ciej niż jądro jest w sta nie obsłużyć ostat nie prze rwa nie. Znacz ni ki po¬ 
kazywane przez ifconfig z grubszaodpowiadają nazwom opcji wiersza poleceń, 
któreomówimydalej. 

Poniżej przedstawiamy listę parametrów rozpoznawanych przez ifconfig z od po- 
wied ni mi na zwa mi zn acz ników. Opcje, które włączają funk cję, po zwa łają ró wni eż 
ją wyłączyć, je śli przed opcją umie ści my znak mi nus (-). 

up 

Ta opcja udostępnia interfejs warstwie IP. Opcja jest domyślna w momencie 
podania w wierszu poleceń adresu. Może być także użyta do ponownego 
włączę nia in ter fej su, kt óry zo stał ty m cza so wo za mknię ty za po mocą opcji do wn. 

Z tą opcją związane są znacz ni ki UP i RUNNING. 

down 

Ta opcja ozna cza, że in ter fejs jest nie do stęp ny dla war stwy IP. W rze czy wi sto ści 
od ci na cały ruch IP do in ter fej su. Za uważ, że ta opcja usu nie au to ma tycz nie ta kże 
wszyst kie wpi sy w ta bli cy ru tin gu, kt óre wy ko rzy stują dany in ter fejs. 

netmask maska 

Ta opcja określa maskę sieci używaną przez interfejs. Może być ona podana 
w po sta ci 32- bi towej licz by szes nast ko wej po prze dzo nej 0x albo w po sta ci liczb 
dzie sięt nych od dzie lo nych krop ka mi. Choć po stać liczb dzie sięt nych jest po pu- 
lar niej sza, czę sto dużo łatwiej jest pra co wać z no ta cją szes nast kową. Ma ski sie ci 
są w grun cie rze czy bi nar ne i łatwiej do ko nać kon wer sji z za pi su bi nar ne go na 
szes nast ko wy, niż z bi nar ne go na dzie sięt ny. 
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pointopoint adres 

Ta opcja jest uży wa na przy łączach IP punkt-punkt łączących tył ko dwa ho sty. 
Jest po trzeb na na przykład do skon fi gu ro wa nia inte rf ej sów SLIP i PPP. Je żeli zo¬ 
stanie ustawiony adres punkt-punkt, ifconfig wyświetli znacznik POINTO¬ 
POINT. 

broadcast adres 

Ad res rozgłoszę nio wy jest zwy kle złożony z ad re su sie ci i wszyst kich bitów usta¬ 
wionych w adresie hosta. Niektóre implementacjelP (systemy pochodzące na 
przykład z BSD 4.2) wy ko rzy stują inny sche mat, w któr ym wszyst kie bity w czę¬ 
ści ho sta są ze ro wa ne. Opcja broadcast przy sto so wu je się do tych dziw nych śro do- 
wisk. Je żeli ad res rozgłoszę nio wy zo stał okre ślo ny, if config wy świe tła znacz nik 
BROADCAST. 

irq 

Ta opcja po zwa la usta lic IRQ uży wa ne przez za da ne urządzę nia. Jest to przy dat- 
ne zwłasz cza w łączach PLIP, ale ta kże przy ni ek tórych kar tach Et her net. 

metric liczba 

Ta opcja może być uży ta do przy pi sa nia me try ki we wpi sie utwo rzo nym dla in- 
ter fej su w ta bli cy ru tin gu. Me try ka jest uży wa na przez protokół ru to wa nia RIP 
(Routing Information Protocol) do tworzenia tablic ru tin gu dla sie ci*. Do myśl na 
metrykaużywanaprzez if config ma war tośćzero.Jeżeli nie ko rzy stasz z de mo na 
RIP, nie potrzebujesz w ogóle tej opcji. A nawet jeżeli go uży wasz, rząd ko bę¬ 
dziesz mu siał zmie niać war tość me try ki. 

mtu bajty 

W ten spo sób usta wia się mak sy malną jed nost kę trans mi sji, która okre śla mak sy- 
malną liczbę oktetów, jaką interfejs jest w stanie obsłużyć w jednym ruchu. 
W przy pad ku Et her ne tu do my śl na war tość MTU wy no si 1500 (naj wię k szy do- 
pusz czai ny roz miar dla pa kie tu Et her net). W przy pad ku inte rfe jsów SLIP jest to 
296 (nie ma ogra ni czeń MTU w łączach SLIP - ta war tość jest po pro stu pew nym 
kompromisem). 

arp 

Ta opcja jest właściwa dla sie ci rozgłoszę nio wych, ta kich jak Et her net, lub dla ra¬ 
dia pa kie to we go. Włącza ona pro tokół roz wiązy wa nia ad re sów (ARP), uży wany 
do znaj do wa nia fi zycz nych ad resów ho stów podłączo nych do sie ci. W sie ciach 
rozgłoszę nio wych uży cie tego pro to kołu jest do my śl ne. Je żeli ARP jest wyłączo¬ 
ny, if config wy świe tla znacz nikNOARP. 

-arp 

Ta opcja wyłącza uży cie ARP na in ter fej sie. 


* RIP wy bie ra opty malną tra sę do za da ne go ho sta na pod sta wie „długo ści" dro gi. Jest ona obliczana 
przez zsu mo wa nie po je dyn czych me tryk na ka żdym łączuho st-host. Do my śl nie hop ma war tość 1, ale 
możebyćtocałkowitawartośćdodatniamniejszaodl6.Długośćtrasyowartościl6odpow iadanieskoń- 
czo ności. Takie trasy są uzna waneza bezuży tęcz ne. Parametr metric usta la koszt hopa, który jest na¬ 
stęp nie rozgłasza ny przez de mo na ru tin gu. 
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promisc 

Ta opcja przełącza in ter fejs w tryb prze chwy ty wa nia paki etów ( ang.promiscuous 
modę). W sie ciach rozgłoszę nio wych ozna cza to, że in ter fejs od bie ra wszyst kie 
pa kie ty, bez wzglę du na to, czy są one dla nie go prze zna czo ne, czy też nie. Po¬ 
zwą la to na ana li zę ru chu za po mocą fi Itrów pa kietów i tym po dob nych na rzę dzi, 
co jest na zy wa ne ta kżesnoopingiemEthernetu. Zwy kle jest to do bra tech ni ka wy- 
kry wa nia pr obl em ów z sie cią, któ re inną me todą byłyby trud ne do zna le zie nia. 
Na rzę dzia ta kie jak tcpdump opie rają się na tym try bie in ter f ej su. 

Z dru giej stro ny opcja ta po zwa la włamy wa czom na ro bie nie brzyd kich rze czy, 
na przykład na przeglądanie pakietów twojej sieci w poszukiwaniu haseł. 
Możesz się zabezpieczyć przed tego typu atakiem, zabraniając komukolwiek 
włączać kom pu te ry do twojej sie ci Et her net. Możesz ta kże uży wać bez piecz nych 
pro to kołów u wie rzy tel nia nia, ta kich jak Ker be ros czy pa kiet se cu re shell*. Opcji 
tej od po wia da znacz nikPROM/SC. 

-promisc 

Ta opcja wyłącza tryb prze chwy ty wa nia paki etów. 

allmulti 

Adresy grupowe (ang. multicast addresses ) mają wiele wspólnego z adresa¬ 
mi rozgłoszę nio wy mi Et her net, z tym wyjątkiem, że nie im pli kują au to ma tycz¬ 
nego kie ro wa nia do pak ie tów wszyst kich członków sie ci. Pa kie ty wysłane na 
adres gru po wy do stają tył ko te oso by, któ re usta wiły ich od bie ra nie. Jest to przy¬ 
datne w takich zastosowaniach, jak wideokonferencje oparte na sieci Ethernet 
czy au dio w sie ci, gdzie tył ko za in te re so wa niod bie rają dane pa kie ty. Ad re so wa- 
nie grupowe jest obsługiwane przez większość sterowników Ethernet, acz¬ 
kolwiek nie przez wszyst kie. Gdy opcja ta jest włączo na, in ter fejs od bie ra i prze ka zu je 
pa kie ty gru po we do prze twa rza nia. Opcji tej od po wia da znacz nik ALLMULTI. 

-allmulti 

Ta opcja wyłącza ad re sy gru po we. 

Polecenie netstat 

netstat jest przy dat nym na rzędziem do spraw dza nia kon fi gu ra cji sie ci i jej działania. 
W grun cie rze czy jest to ze staw kil ku połączo nych ze sobą na rzę dzi. W ko lej nych 
pod roz działach oma wia my ka żdą z funk cji po le ce nia. 

Wyświetlanietablicyrutingu 

Kie dy wy wołasz netstat z opcją -r, wy świetli ono ta bli cę ru tin gu jądra w po sta ci po- 
dob nej jak po le ce nie route . Na ho ście vstout wy nik wygląda na stę pująco: 

# netstat -nr 

Kernel IP routing table 

Destination Gateway Genmask Flags MSS Window irtt Iface 

127.0.0.1 * 255.255.255.255 UH 0 0 0 lo 


ssh znaj du je się w ka ta lo gu/pub/ss/z pod ad re sem ftp .cs.hut.fi. 
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172.16.1.0 * 255.255.255.0 U 0 0 0 ethO 

172.16.2.0 172.16.1.1 255.255.255.0 UG O O O ethO 

Opcja -n po wo duje, że netstatwy świe tla ad re sy w po sta ci nu mer ów IP, a nie sym bo- 
licznych nazw hostów i sieci. Opcja ta jest szczególnie przydatna, jeżeli chcesz 
uniknąć szu ka nia adr es ów w sie ci (tzn. na ser we rach DNS al bo NIS). 

Druga kolumna wynikupolecenianefsfafpokazujega te way, na który wskazuje da¬ 
ny wpis. Je żeli ga te way nie jest uży wa ny, wy świe tla na jest gwiazd ka. Trze cia ko- 
lum na po ka żuje ma skę sie ci dla da nej tra sy. Gdy po da my ad res IP, dla którego chce 
my znaleźć odpowiednią trasę, jądro przegląda kolejne wpisy w tablicy rutingu 
i wy ko nu je bi to wo lo giczną ope ra cję AND na ad re sie i ma sce sie ci, por ównując ad¬ 
res do ce lo wy z trasą. 

Czwar ta ko lumna za wiera na stęp ujące znacz niki opis ujące tra sę: 

G Trasa przez ga te way. 

U In ter fejs, kt óry ma być uży ty, jest ak ty w ny. 

H Przez tę tra sę mo żna do stać się tyl ko do jed ne go ho sta. Na przykład znacz nik ten 
wy stę pu je w przy pad ku wpi su dla pę tli zwrot nej 127.0.0.1. 

D Ta tra sa jest two rzo na dy na micz nie. Znacz nik jest usta wia ny, je żeli wpis w ta bli- 
cy zo stał stwo rzo ny przez de mo na ru tin gu, na przykład gated, lub przez ko mu ni- 
kat prze kie ro wa nia ICMP (zobacz pod roz dział In ternetowypr otokółkomunikatów 
kon tro l nych (ICMP) w roz dzia le 2). 

M Ten znacz nik jest usta wio ny, je żeli wpis w ta bli cy zo stał zmo dy fi ko wa ny przez 
komunikatprzekierowaniaICMP. 

! Ta tra sa zo stała od rzu co na i da ta gra my do niej skie ro wa ne będą gu bio ne. 
Kolejne trzy kolumny pokazują MSS, Window i irtt, czyli zmienne dotyczące 
połączeń TCP zre ali zo wa nych w opar ciu o daną tra sę. MS S to maksy mai ny roz miar 
segmentu (ang. maximum seg ment size); jestto roz miarnaj większe goda ta gramu, ja ki 
jądro może zbu do wać i wysłać tą trasą, windo w to maksy mai na licz ba da nych, jaką 
sys tern przyj mie jed no ra zo wo ze zdał ne go ho sta. Sk rót i r 11 po cho dzi od słów ini- 
tialround trip time (wstęp ny czas prze wi dy wa ny na trans mi sję i po twier dze nie przy- 
ję cia). Prot okół TCP za pew nia nie za wod ność do star cza nia da nych po mię dzy ho sta- 
mi, po nie waż po now nie wy syła da ta gram, je żeli zo sta nie on zgu bio ny. Pil nu je też 
licznika mierzącego czas potrzebny na dostarczenie datagramu na drugi koniec 
i odebra nie po twier dze nia. Na pod sta wie te go licz ni ka wie, po ja kim cza sie na le ży 
dokonać ewentualnej ponownej transmisji datagramu. Proces ten jest nazywany 
cza sem prze wi dy wa nym na trans mi sję i po twier dze nie przy ję cia (ang. round-trip 
time). Wstęp ny czas prze widy wa ny na trans mi sję i po twier dze nie przy ję cia to war¬ 
tość, ja kiej pr otokół TCP uży wa, kie dy po raz pierw szy re ali zu je połączę nie. W więk¬ 
szości typ ów sie ci do my śl na war tość jest po praw na, ale w przy pad ku niek tór ych 
wol nych sie ci, jak na przykład w pew nych ty pach sie ci arna tor skie go ra dia pa kie to- 
we go, czas ten jest zbyt krótki i po wo du je nie po trzeb ne re trans mi sje. War tość irtt 
może być usta wio na za po mocą pole ce nia route. War to ści ze ro w tych po lach ozna¬ 
czają, że bę dzie uży wa na war tość do my śl na. 

No i ostatn ie pole po kaz uje in terf ejs sie ciowy uży w any dla da nej tra sy. 
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Wyświetlaniestatystykinterfejsu 

Wy wołanie nets ta ł z opcją -i wy świe tla sta ty sty ki obec nie skon fi gu ro wa nych inte r£ 
ej sów sie cio wych. Je żeli zo sta nie poda na równ ież opcja-a, wy świe tla ne sąwszystkie 
in ter fej sy obec ne w jądrze, a nie tyl ko te obec nie skon fi gu ro wa ne. Na ho ścievstout 
wy nik po le ce nia netstatbędzie wyglądał na stę pująco: 

# netstat -i 

Kernel Interface table 

Iface MTU Met RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flags 
lo 00 3185 000 3185 000 BLRU 

ethO 1500 0 972633 17 20 120 628711 217 0 0 BRU 

Pola MTU i Me t po kaz ują ak tua lnie ustal one war toś ci MTU i me tryki dla da nego in¬ 
terfejsu. Kolumny RX i TX pokazują, ile pakietów zostało odebranych albo 
wysłanych bezbłęd nie (RX-OK/TX-OK),albo uszkod zony ch (rx-err/tx-err), ile 
pakiet ów zo stało zgubionych(RX-DRP/TX-DRP) oraz ile zo stało zgu bion ych z po¬ 
wodu przeciążenia(RX-OVR/TX - O VR). 

Ostat nia ko lum na po ka zu je znacz ni ki, które zo stały usta wio ne dla da ne go in ter fej su. 
Li te ry te są skróconą wer sją długich nazw znaczników wy świe tla nych dla kon fi gu ra¬ 
gi in ter fej su pr zez ifeon fig: 

B Zo stał usta wio ny ad res rozgłoszę nio wy. 

L Ten in ter fejs to urządzę nie pę tli zwrot nej. 

M Od bie ra ne są wszyst kie pa kie ty (tryb prze chwy ty wa nia). 

O ARP dla in ter fej su jest wyłączo ny. 

P Jest to połączę nie punkt-punkt. 

R Interfejsdziała. 

U Interfejsjestaktywny. 

Wyświetlaniepołączeń 

netstat obsługu je ze staw opcji do wy świe tla nia ak tyw nych lub pa syw nych gniazd. 
Opcje -f, -u r - w i po ka żują ak tyw ne połączę nia TCP, UDP, RAW i gniaz da Unik sa. 
Je żeli po nad to po dasz opcję -a, gniaz da ocze kujące na połączę nie (tzn. nasłuchujące) 
ta kże zo staną wy świe tło ne. W wy ni ku zoba czysz li stę wszyst kich serwer ów, które 
ak tu al nie działają w two im sys te mie. 

Wywołanie net stat-ta na ho ście vlager da na stęp ujący wy nik: 


$ netstat -ta 

Active Internet Connections 


Proto 

Recv-Q 

Send-Q 

Local Address 

Foreign Address 

(State) 

tep 

0 

0 

*:domain 

k • k 

LISTEN 

tep 

0 

0 

*:time 


LISTEN 

tep 

0 

0 

*:smtp 

k • k 

LISTEN 

tep 

0 

0 

vlager:smtp 

vstout:1040 

ESTABLISHED 

tep 

0 

0 

*:telnet 

k m k 

LISTEN 

tep 

0 

0 

localhost:1046 

vbardolino:telnet 

ESTABLISHED 

tep 

0 

0 

*:chargen 

k • k 

LISTEN 

tep 

0 

0 

*:daytime 

k • k 

LISTEN 

tep 

0 

0 

*:discard 

k • k 

LISTEN 
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Roz dział 5: Kon figu ro w a nie sie ci TCP/IP 


tcp O O *: echo *:* LISTEN 

tcp 0 O *:Shell *:* LISTEN 

tcp 0 0 *: login *:* LISTEN 

Wi dać, że wię ks zość ser we rów po pro stu oczek uje na nad chodzące połączę nia. Jed¬ 
nak czwar ta li nia po kaz uje przy chodzące połączę nie SMTP z ho sta vstout, a szósta 
li nia mówi, że ist nieje wy chodzące połączę nie telnet do ho sta vbardolino*. 

Użyć ie sa mej opcji -a wy świet li wszyst kie gniaz da ze wszyst kich ro dżin. 


Sprawdzanie tabiicARP 

W pewnych sytuacjach warto obejrzeć lub zmienić zawartość tablic ARP jądra. 
Przy da je się to, kie dy na przykład po dej rze wasz, że zdu pli ko wa ny ad res in ter ne 
towy jest powodem sporadycznych problemów z siecią. Narzędzie arp zostało 
stwo rzo ne do uży cia w te go ty pu sy tu acjach. Opcje wier sza po le ceń arp są na stę¬ 
pujące: 

arp [-v] [-t typhw ] -a [ nazwahosta ] 

arp [-v] [-t typhw ] -s nazwahosta hwadres 

arp [-v] -d nazwahosta [nazwahosta. ..] 

Wszyst kie ar gum entyn azwahosta mogą mieć po stać sym boi iczny ch naz w hos tó w 
lub adr esów IP w no tac ji krop kow ej. 

Pierw sze wy wołanie wy świet la wpis ARP dla poda nego ad resu IP lub na zwy ho sta 
albo wszystkich hostów, jeżeli nie zostanie podana nazwahosta. Na przykład 
wy wołanie arp na ho ście vlager może po kaz ać coś ta kiego: 

# arp -a 

IP address HW type HW address 

172.16.1.3 lOMbps Ethernet 00:00:CO:5A:42:Cl 
172.16.1.2 lOMbps Ethernet 00:00:CO:90:B3:42 

172.16.2.4 lOMbps Ethernet 00:00:CO:04:69:AA 

Są to ad resy Et hern et ho stów vlager, vstout i vale. 

Używ ając opcji -t , możesz ogran icz yć wy świet lanie do za dan ego typu kar ty. Może 
to być ether, ax2 5 albo pronet, czyli odpowiednio Ethernet 10 Mb/s, AMPR 
AX.25 i to ken ring IEEE 802.5. 

Opcja -sjest uży wa na do do da wa nia na stałe w ta bli cy ARP ad re su ether ne to we go 
naz wyh o sta. Ar gu ment hwadres okre ślaadressprzęto wy, który domyśl nie po wi¬ 
nien być adresem Ethernet poda nym w po sta ci sze ściu liczb szes nast ko wy ch od¬ 
dzielonych dwukropkami. Za pomocą opcji -t możesz również ustawić adresy 
sprzęt owe dla in nych ty pów urządzeń. 

Zapytania ARP o zdalny host nie udają się czasem z różnych powodów. Na 
przykład gdy ste row nik ARP jest błęd ny lub in ny host w sie ci błęd nie iden ty fi ku je 


* Na pod sta wie num erów por tów możesz stwier dzić, czy połączę nie jest wy chodzące. Nu mer por tu po- 
ka za ny dla ho sta wywołującegobę dzie zaw sze liczbą całko witą. Na ho ście, z kt órym jest re ali zo wa ne 
połączenie, będzie używany port dobrze znanej usługi i netstat pokaże symboliczną nazwę, na 
przykład smtp, która jest zde fi nio wa na w pli ku/ef c/sewices. 




SprawdzanietablicARP 


81 


się z ad re sem IP in ne go ho sta. Pro blem ten wy ma ga ręcz ne go do da nia ad re su IP do 
ta bli cy ARP. Ad re sy IP na szty w no (ręcz nie) wpi sa ne w ta bli cy ARP są również (bar¬ 
dzo dra stycz nym) za bez pie cze niem przed ty mi ho sta mi w two jej sie ci, któ re udają, 
że są kim in nym. 

Wy wołaniearp z opcją -d po wodujeusunięciewszystkich wpisów ARP dotyczących 
da ne go ho sta. W ten sposób mo żna wy mu sic na in ter fej sie po nowną pr óbę uzy ska- 
nia ad re su Et her net związa ne go z da nym ad re sem IP. Jest to przy dat ne, gdy błęd nie 
skonfigurowany sys tern rozgłosi złą in for ma cję ARP (oczy wiś cie mu sisz naj pierw 
prze kon f i gu ro wać błęd ny host). 

Wspo mnia na po wy żej opcja -s może być uży wa na do im ple men ta cji ser we ra proxy 
ARP. Jest to spe cjal na tech ni ka, dzię ki któr ej host, po wiedz mygate , działa ja ko ga te way 
dla in ne go ho sta fnord udając, że oba ad re sy od noszą się do te go sa me go ho sta gate. 
W tym ce lu rozgłasza wpis ARP dla fnord wska żujący na je go własny in ter fejs Et hernet. 
Teraz gdy host wy ś le za py ta nie ARP of nord, gate z w róci od po wie dź za wie rającą je 
go własny ad res Et her net. Py tający host wy ś le wszyst kie da ta gra my do gate, kt óry z 
ko lei posłusznie prze ka że je do fnord. 

Ta ki me cha nizm może być po trzeb ny, gdy chcesz się do stać do fnord z kom pu te ra 
DO S-o we goznie po prawną im ple men ta cjąTCP,niezbyt dobrze rozumiejącą ruting. 
Gdy uży jesz proxy ARP, ma szy na DO S-o wa bę dzie wi działa fnord tak, jak by był on 
w lo kał nej pod sie ci, a więc nie bę dzie mu siała ru to wać pa ki et ów przez ga te way. 

Proxy ARP przy daje się też, gdy je den z two ich hos tów działa tym czas owo jako ga- 
tew ay dla in nego ho sta, na przykład połączo nego przez łącze ko mut owa ne. W jed¬ 
nym z po przedn ich przykładów spo tkał iśmy się z lap top em vlite, który był cza sem 
podłączo ny do vlagera przez łącze PLIP. Oczy w iście proto kół za działa tyl ko wte dy, 
je żeli ad res ho sta, dla kt órego chcesz re aliz ować proxy ARP, znaj duje się w tej sa mej 
podsieci IP co gateway. vstout może pełnić rolę proxy ARP dla do wolnego ho sta 
w podsieci browaru (172.16.1.0), ale nie może dla hostów w podsieci winiarni 
(172.16.2.0). 

Po niż ej po ka zu je my po praw ne wy wołanie tworzące proxy ARP dlaf nord. Oczy wiś¬ 
cie poda ny ad res Et her net mu si być ad re sem gate'a: 

# arp -s fnord 00:00:cO:al:42:eO pub 

Wpis proxy ARP może zo stać usuń ięty przez po nowne wywołanie: 

# arp -d fnord 
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Usługi nazewnicze 
i konfigurowanie 
resolvera 



Jak po wied zieli śmy w roz dziale 2, Wy bra ne problemy sie ci TCP/IP , w sieci TCP/IP 
mogą funk cjon ować różne sche maty kon wers ji nazw na ad resy. Naj prosts zym roz¬ 
wiążą niem jest ta blica ho stów za pis ana w pli ku /etc/hosts. Spraw dza się ona je dyn ie 
w małych sieciach LAN, które są pod opieką jednego administratora albo nie 
obsługują ru chu IP do świata ze wn ętrzne go. For mat pli ku hosts zo stał już opis any 
w roz dzia le 5,KonfigurozvaniesieciTCP/IP. 

Idąc da lej, do za mia ny nazw hostów na ad re sy IP możesz użyć usługi z BIND ( Berke¬ 
ley Internet Name Domain Sernice - in ter ne to we usługi na zew ni cze do men z Ber ke- 
ley). Konfigurowanie BIN D-a by wa przy kre, ale jak już to zro bisz, łatwo wpro wa¬ 
dzisz ka żdą zmia nę w to po lo gii sie ci. W Linuksie, jak i w wie lu in nych sys te mach 
uniksowych, usługi nazewnicze są obsługiwane przez program o nazwi enamed. 
Przy uruchamianiu ład u jeonze stawgłównych plików doswo jej pa mię ci wewnętrz¬ 
nej i cze ka na za py ta nia od lo kal nych lub zdał nych proc esów użyt kow ni ka. Ist nieją 
różne sposoby skonfigurowania BIND-a i nie wszystkiewymagająuruchamiania 
ser we ra nazw na ka żdym ho ście. 

Chcie li by śmy, aby ten roz dział był czy mś wię cej niż po bie żnym szki cem na te mat 
DN S-u i obsługi ser we ra nazw. In for ma cje tu poda ne po win ny wy star czyć, je żeli 
masz małą sieć lo kalną i połączę nie z In ter ne tern. Na jś wie ż sze in for ma cje znaj dziesz 
w do ku men ta cji za miesz czo nej w pa kie cie źr ódłowym BIND, który za wie ra stro ny 
podręcz ni ka elek tro nicz ne go, uwa gi do da nej wer sji oraz Podręcznik ope ra to ra BIND 
(BIND Operator's Gu ide - BOG). Nie pozwól, by ta na zwa cię od stra szyła. W prak ty ce 
jest to bar dzo uży tęcz ny do ku ment. Pełnie j szy opis DN S-u i związa nych z nim za- 
gad nień możesz zna le źć w książce DNS and BIND au tor stwa Pau la Al bit za i Cric ke ta 
Liu (wyd. poi.: DNS i BIND,Wy dawnictwoRM, War sza wa 1999), która stanowi do¬ 
skonałe źródło informacji na ten temat. Odpowiedzi na pytania na temat DNS-u 
możesz zna le źć w wia do mo ściach gru py dys ku syj nej comp.protocols .tcp-ip.domains. 
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Rozdział 6: Usługi na zewnicze ikon figu ro wa nie re solve ra 


Sz cz egóły tech nicz ne DN S-u są zde f i nio wa ne w na stę pujący ch do ku men tach RFC: 
1033,1034 i 1035. 

Biblioteka resolvera 

Okres lenie resoher nie od nosi się do ja kiejś sz czeg ólnej aplik acji, ale do bi bliot eki re 
solvera. Jest to zb iór funk cji, które mo żna zna leźć w stan dard owej bi bliot ece C. Pod¬ 
staw owe pro ced ury to gethostyname(2) i gethostbyaddr(2), po szuk ujące ad resów IP 
związa nych z daną nazwą ho sta i od wrotn ie. Mogą być skon fi gu ro wa ne tak, aby po 
pro stu szu kać in form acji w pli ku hosts, albo za daw ać za pyt ania do se rwe rów nazw 
DNS, albo też ko rzys tać z bazy da nych hostsNl S-a. 

Funk cje re sol ve ra od czy t ują pli ki kon f ig ura cyj ne w mo men cie, gdy są wy woły wane. 
Na ich pod staw ie ustal ają, którą bazę da nych za pyt ać i w ja kiej ko lejn ości, oraz do- 
wiad ują się in nych sz czegółów na te mat kon fig ura cji śród owi ska. Star sza stan dar¬ 
do wa bi bliot eka ,libc, w Linuksie wy kor zyst y wała plik /etc/host.conf jako główny plik 
kon fig ura cyj ny, ale wer sja 2. stan dard owej biblioteki GNU, glibc, wy kor zyst uje plik 
/etc/nsswitch.conf. Opiszemy kolejno każdy z nich, ponieważ oba są powszechnie 
używane. 

Plik host.conf 

Plik /etc/host.conf mówi funkcjom resolvera ze starszej biblioteki standardowej 
w Linuksie, ja kich usług używ ać i w ja kiej ko lejn ości. 

Opcje w pli ku host.conf trze ba umieszc zać w od dzieln ych wier szach. Pola mogą być 
od dziel one białymi zna kami (spa cjami lub ta bul ato rami). Znak hasha (#) oznac za li¬ 
nię z ko ment arz em. Do stępne są na stęp ujące opcje: 

order 

Ta opcja okreś la ko lej ność, w ja kiej wy próbowane są usługi. Do pusze żalne opcje 
to: bind dla za pytań ser weranazw,hosts dla sprawdzania pli ku /etc/hosts i nis 
dla za pytań NIS. Mo żna po dać jedną opcję lub wszyst kie. Ko lejn ość prze pyt y wa- 
nia (spraw dzan ia) usług za leży od uporządkow ania opcji w wier szu. 

multi 

multi może posiadać opcje on lub off. Określa, czy host wpisany do pliku 
/etc/hosts może mieć kilka adr esów IP. Domyślna wartość to off. Znacz niknie 
ma wpływu na za py ta nia do DN S-u czy NI S-a. 

nospoof 

Jak wyjaśnimy dalej w podrozdziale Wyszukiwanie odwrotne, DNS pozwala na 
znalezienie nazwy hosta związanej z danym adresem IP za pomocą domeny 
in-addr.arpa. Próbę do star cze nia przez ser we ry nazw fałszy wej na zwy ho sta na- 
zy wa się spoofingiem. Aby się przed tym obro nić, re solver mo żna skon fi gu ro wać 
tak, żeby sprawdzał, czy oryginalny adres IP faktycznie jest związany z uzy¬ 
skaną nazwą ho sta. Je żeli nie, na zwa jest od rzu ca na i zwra ca ny jest błąd. Za cho¬ 
wa nie to jest włącza ne przez usta wie nie nospoof. 
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alert 

Ta opcja przyj mu je pa ra me try o n lub o f f. Je żeli jest włączo na, pr óby spoo fin gu 
sko ńczą się tym, że re solver za pi sze ko mu ni kat za po mocą funk cji syslog. 

trim 

Jako argument tej opcji występuje nazwa domeny, usuniętej z nazw hostów 
przed roz po czę ciem wy szu ki wa nia. Jest to przy dat ne dla wpis ów w pli ku hos ts, 
w których chcesz podawać same nazwy ho sta, bez lo kal nej do me ny. Je żeli po¬ 
dasz swoją domenę lokalną, zostanie ona usunięta przy poszukiwaniu hosta 
z do daną nazwą do me ny lo kal nej, co po zwa la na po praw ne wy szu ki wa nie w pli¬ 
ku /etc/hosts. Nazwa domeny, którą podajesz, musi kończyć się kropką (na 
przykład linux . org . au .), je żeli trim ma działać po praw nie. 

Opcje trim łączą się ze sobą. Możesz spra wić, że twój host bę dzie uzna wa ny za 
lo kal ny w kil ku do me nach. 

W przykładzie 6-1 po ka za no plik host.conf dla ho sta vlager. 

Przykład 6-1. Przykład o wy plik host.conf 

# /etc/host.conf 

# named dzialDa, ale nie mamy NIS-a (jeszcze) 
order bind,hosts 

# Pozwalamy na wielokrotne adresy 
multi on 

# Zabezpieczamy siD przed próbami spoofingu 
nospoof on 

# obcinamy domenD lokalnD (nie jest to naprawdD niezbDdne). 
trim vrew.com. 

Zmień neśrodowiskoweresolvera 

Usta wie nia w pli ku host.conf mogą być zmienione za po mocą szeregu zmiennych 
środowiskowych: 

RESOLV_HOST_CONF 

Ta zmień na okre śla, jaki plik ma być czy ta ny za miast /etc/host .conf. 

RESOLV_SERV_ORDER 

Ta zmień na unie wa żnia opcję or de r za wartą w pli ku host.conf. Usługi są po da wa- 
ne jako hosts, bind i nis, oddzielone spacjami,przecinkami,dwukropkami 
lubśrednikami. 

RESOLV_SPOOF_CHECK 

Ta zmień na okre śla sto pień ochro ny przed spoo fin giem. Poda nie o f f wyłącza tę 
opcję. Wartości wara i warn off włączają sprawdza nie spoofingu, odpowiednio, 
przez włączę nie i wyłącznie lo go wa nia. War tość * włącza spraw dza nie spoo fi ngu, ale 
pozostawia funkcję logowania zgodnie z tym, co jest zdefiniowane w pliku 
host.conf. 

RESOLV_MULTI 

Ta zmień na po zwa la na poda nie wartości on lub off i unie ważniaopcjęmulti 
z pli kuhost.conf. 
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Rozdział 6: Usługi na zewnicze ikon figu ro wa nie re solve ra 


RESOLV_OVERRIDE_TRIM_DOMAINS 

Ta zmień na okre śla li stę do men, kt óre mają być ob ci na ne, i unie wa żnia te poda ne 
w pliku host.conf. Obcinanie domen omówiliśmy wcześniej, przy opisie słowa 
kluczowego tr im. 

RESOLV_ADD_TRIM_DOMAINS 

Ta zmień na okre śla li stę ob ci na nych do men, do da waną do li sty poda nej w pli ku 
host.conf. 

Pliknsswi tch.conf 

Wersja 2. standardowej biblioteki GNU oferuje wy daj niej szyi bar dziej elastyczny 
me cha nizm, kt óry zastę pu jestar szy plik host. conf. Po jęcie usługi na zewniczej zostało 
roz sze rzo ne tak, że obec nie jej plik za wie ra wie le róż nych in for ma cji. Opcje kon fi gu- 
ra cyj ne dla różnych funk cji za dających za py ta nia do jej baz da nych zo stały z po wro- 
tem umiesz czo ne w jed nym pli ku kon fi gu ra cyj nym o na zwi ensswitch.conf. 

Plik nsswitch.conf pozwala administratorowi systemu skonfigurować szereg róż¬ 
ny ch baz da nych. Ogran icz ymy omówi enie do opcji związa nych z roz wiązy wan iem 
ad res ów IP ho stów i sie ci. Wię cej in form acji na te mat in nych funk cji możesz zna leźć 
w do kum enta cji stan dard owej bibliot eki GNU. 

Opcje w pliku nsswitch.conf muszą występować w oddzielnych wierszach. Pola 
mogą być od dzie lo ne białymi zna ka mi (spa cja mi lub ta bu la to ra mi). Znak has ha (#) 
ozna cza ko men tarz, kt óry ciągnie się do na stęp ne go wier sza. Ka żdy wiersz opi su je 
określoną usługę - jedną z nich jest rozwiązywanie nazwy hosta. Pierwsze pole 
w ka żdym wier szu to na zwa ba zy da nych ko ńcząca się dwu krop kiem. Na zwa ba zy 
związa nej z roz wiązy wa niem ad re sów ho st ów tohosts.In na, związa na z usługą 
nazewnicząbazato networks; służy do za mia ny nazw sie ci na ich ad re sy. Pozo¬ 
stała czę ść ka ż de go wier sza za wie ra opcje okre ślające sposób wy szu ki wa nia wba zie 
danych. 

Do stępne są na stęp ujące opcje: 

dns 

Uży cie sys te mu nazw do men (DNS) do roz wiązy wa nia ad re sów. Ma to sens je 
dy nie przy roz wiązy wa niu ad re sów ho st ów, a nie sie ci. Me cha nizm ten wy ko¬ 
rzy stu je plik/etc/resoh.conf, opi sa ny w dal szej czę ści tego roz działu. 

f ileś 

Prze szu ki wa nie pli ku lo kal ne go w po szu ki wa niu na zwy ho sta lub sie ci i od po- 
wia dających im ad re sów. Ta opcja wy ko rzy stu je tra dy cyj ne pli ki /etc/hosts i /etc/ 
networks. 

nis lub nisplus 

Uży cie sys te mu in for ma cji sie cio wej (NIS) do roz wiązy wa nia ad re sów ho st ów 
lub sie ci. NIS i NIS+ zo stały sz czegółowo om ówione w ro dzia le 13, Sys tern infor- 
macjisieciowej. 

Ko lej ność, w ja kiej są poda ne, de cy du je o porządku za da wa nia za py tań o roz wiąza¬ 
nie nazwy. Lista kolejności zapytań znajduje się w opisie usługi umieszczonym 
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w pli ku /etc/nsswitch.conf. Usługi są za py ty wa ne od le wej do pra wej. Do my śl nie po- 
szu ki wa nie ko ńczy się, gdy roz wiąza nie na zwy się po wie dzie. 

W przykładzie 6-2 po kaz uje my pro sty plik, na ślad ujący naszą kon fig ura cję wy ko¬ 
rzy stującą starszą bi bliot ekę stan dard ową libc. 

Przykład 6-2. Przykładowypliknsswitch.conf 

# /etc/nsswitch.conf 

# 

# PrzykOadowa konfiguracja funkcjonalności GNU Name Service Switch. 

# Informacje o tym pliku sś dostśpne w pakiecie 'libc6-doc'. 

hosts: dns files 

networks: files 

Za pis taki jak w po wyż sz ym przykładzie oznac za, że sys tern po szuk uje ho stów naj¬ 
pierw przez sys tern nazw do men, a na stępn ie, je żeli to się nie uda, w pli ku /etc/hosts. 
Po szuk iwa nie nazw sie cibę dzie re aliz owa ne tyl ko w oparć iu o p\\k/etc/networks. 

Możesz bardziej precyzyjnie sterować poszukiwaniami, jeśli skorzystasz z „ele¬ 
mentów działania". Pod po wia dają one ko lej ne kroki na pod staw ie wyn ików uzy 
ska nych w po przedn iej pr obie wy szuk iwa nia. Elem enty działania znaj dują się po 
międ zy spe cyf ika cja mi usług i są otoc zonę na wias ami kwa drat owy mi [ ]. Ogó Ina 
skład nia dy rekt ywy działania jest na stęp ująca: 

[ [!] status = dziaDanie ... ] 

Ist nieją dwa mo żliwe działania: 

return 

Po wo du je po wr ót do pro gra mu, któ ry pró bował roz wiązać na zwę. Je żeli pr óba 
wy szu ki wa nia się po wiodła, re solver z w róci szc zegółowe informacje, a w prze 
ciw ny m ra zie zw róci zero. 

continue 

Re solver przej dzie do ko lej nej usługi na liś cie i spr obuje za jej po mocą zna le źć na¬ 
zwę. 

Opcjo nal ny znak wy krzyk ni ka (!) mó wi, że sta tus po wi nienbyć od wrócony przed 
wy ko na niem te stu, czy li ozna cza „ nie". 

Do pusze żalne war toś ci sta tusu, na któ rych możemy oper ować to: 

success 

Żądany ad res zo stał zna le zio ny bez błędu. Do my śl ne działanie dla tego sta tu su 

to return. 

notfound 

W wy szu ki wa niu nie wystąpił błąd, ale po szu ki wa ny host lub sieć nie mogą być 
zna le zio ne. Domyśl ne działanie dla tego sta tu su to continue. 
unavail 

Usługa, do której zo stało za da ne za py ta nie, jest nie do stęp na. Może to ozna czać, 
że plik hosts lub networks jest nie czy teiny dla usługi files lub że ser wer nazw 
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albo ser wer NIS nie od po wia dają na usługę dns lub n i s. Do my śl ne działanie 
dla tego sta tu su to cont inue. 
tryagain 

Ten sta tus mówi, że usługa jest tym cza so wo nie do stęp na. W przy pad ku usługi 
files zwykle oznacza to, że dany plik jest zablokowany przez inny proces. 
W przy pad ku in nych usług może to ozna czać tym cza sową nie mo żność przy ję cia 
połączę nia. Do my śl ne działanie dla tego sta tu su to eon t inue. 

Prostą ilu stra cję wy ko rzy sta nia te go me cha ni zmu sta no wi przykład 6-3. 

Przykład 6-3. Przykład o wy pl ik nsswi tch .conf wy ko rzy stu jący dy rek ty wę działania 

# /etc/nsswitch.conf 

# 

# PrzykDadowa konfiguracja funkcjonalnoDci GNU Name Service Switch. 

# Informacje o tym pliku sD dostdpne w pakiecie 'libc6-doc'. 

hosts: dns [!UNAVAIL=return] files 

networks: files 

W tym przykładzie próbujemy zna le źć na zwę ho sta za po mocą sys te mu usług na- 
zewniczych domen. Jeżeli tylko zwrócony status nie oznacza niedostępności, re- 
solver zwra ca to, co zna lazł. Je żeli pr óba za py ta nia DNS zwróciła sta tus nie do stęp 
ności (wyłącznie w tym przypadku), resolver próbuje użyć lokalnego pliku 
/etc/hosts. Ozna cza to, że po win niś my użyć pli ku hosts tyl ko wte dy, gdy nasz ser wer 
nazw z ja kie goś po wo du jest nie do stęp ny. 

Kon fi gu ro wa nie po szu ki wa nia przez serwer nazw za po mocą pliku re solv.conf 

Gdy konfigurujesz bibliotekę resolvera do korzystania z usługi nazewniczej 
BIND przy roz wiązy wa niu nazw, mu sisz ta kże wska zać ser we ry nazw, które mają 
być uży wa ne. Do te go ce lu służy od dziel ny plik resoh.conf. Je żeli plik ten nie ist nie je 
lub jest pu sty, re solver zakłada, że ser wer nazw znaj du je się na two im ho ście lo kal- 
nym. 

Aby uru cho mić ser wer nazw na ho ście lo kal nym, mu sisz go od dziel nie skon fi gu ro- 
wać, co wyjaśniamy w kolejnym podrozdziale. Jeżeli pracujesz w sieci lokalnej 
i masz mo żli wość wy ko rzy sta nia ist niejące go ser we ra nazw, nie omiesz kaj tak zro¬ 
bić. Jeżeliuży waszkomutowanego połączę nia IP z In ter ne tern, w pli ku resoh.conf 
zwyklepodajeszserwernazwtwojegodostawcylnternetu. 

Naj wa żniejszą opcją w pli ku resoh.conf jest name server, za wie rająca adres te go 
ser we ra nazw, który ma być uży wa ny. Je żeli po dasz kil ka ser werów nazw, wpi sując 
kilkukrotnie opcję name server, będą one sprawdzane w zadanej kolejności. 
W związku z tym najbardziej niezawodne serwery powinieneś umieszczać na 
początku. Bieżąca implementacja pozwala ci na umieszczenie w pliku resoh.conf 
trzech dyrektyw name server.Jeżeliniezostaniepodanaopcjaname server, re- 
solver po dej mie pr óbę połączę nia z ser we rem nazw na ho ście lo kal nym. 

Dwie po zo stałe opcje to domain i search, po zwalające na sto sowa nie skróconych 
nazw hostów w do me nie lo kal nej. Zwy kle je śli łączysz się za po mocą tel ne tu z in- 
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nym ho stem w do me nie lo kal nej, nie mu sisz wpi sy wać pełnej na zwy. Wy star czy po¬ 
dać tył ko na zwę kr ótką ty pu gauss . Re solver sko ja rzy ją z po zo stałą czę ścią na zwy: 

mathematics.groucho.edu. 

Tak właśnie działa dyrektywa domain. Pozwala podać domyślną nazwę dome 
ny, kt óra ma być do da wa na, gdy DNS nie znaj dzie na zwy ho sta. Na przykład, gdy 
po da my na zwęgauss, re solver nie znaj dzie jej w DN S-ie, po nie waż nie ma ta kiej do me ny 
pod sta wo wej. Gdy ja ko do me nę do my ślną wska żemymathematics. groucho.edu , re- 
solver po wtórzy za py ta nie ogauss. Tym ra zem wy szu ki wa nie się po wie dzie. 

Pew nie ci się to po do ba, ale kie dy wyj dziesz po za do me nę wy działu ma te ma ty ki, 
mu sisz po wrócić do pełnych nazw do men. Oczy wiś cie chciałbyś mieć rów nież sk ro¬ 
ty, ta kie jak ąuark.physics dla hostów z do me ny wy działu fi zy ki. 

Tu z po mocą przy cho dzi listaprzeszukizuania. Mo żna ją po dać za po mocą opcji se- 
arch, która jest uogólnieniem dyrektywy domain. Ta druga umożliwia wprowa¬ 
dzę nie poje dyn czej do me ny do my śl nej, na to miast ta pierw sza po zwa la na poda nie 
li sty do men, kt óre będą po ko lei spraw dza ne, aż po szu ki wa nie za ko ńczy się po wo¬ 
dze niem. Ele men ty li sty muszą być od dzie lo ne spa cja mi lub ta bu la to ra mi. 

Dyrektywy s e ar ch i doma i n wza jem nie się wy klu czają i nie mogą po ja wić się w pli¬ 
ku wię cej niż raz. Je żeli zo sta nie poda na któr aś z opcji, re solver bę dzie pr óbował od¬ 
gadnąć domyślną domenę na podstawie nazwy lokalnego hosta za pomocą wy¬ 
wołania sys terno we go getdomainname(2 J. Je żeli na zwa ho sta lo kal ne go nie za wie ra na¬ 
zwy do me ny, przyj mo wa na jest do me na głów na (ang .ro ot domain). 

Jeżelizdecydujeszsięumieścićdyrekty wę search w pli ku resoh.conf ,powinieneś 
uwa żać na to, ja kie do me ny do da jesz do li sty. Bi blio te ki re solve ra wcze śniej sze niż 
BIND4.9tworzyłydomy ślną li stę przeszuki wa nia na pod sta wie na z wy do me ny, j e 
żeli li sta nie zo stała poda na. Do my śl na li sta składała się z sa mej do me ny do my śl nej 
oraz wszyst kich jej do men nad rzęd nych, aż do do me ny głów nej. Po wo do wało to 
pewne problemy, ponieważ zapytania DNS kończyły się na serwerach nazw, do 
których nig dy nie po win ny do trzeć. 

Załóżmy, że jesteś w browarze wirtualnym i chcesz zalogować się do foot.grou- 
cho.edu. Przy pu śćmy, że omsknął ci się pa lec i wpi sałeś fooza miast foot, czy li po¬ 
dałeś na zwę ho sta, kt óra nie ist nie je. Ser wer nazw GMU po wie ci, że nie zna ta kie go 
ho sta. W przy pad ku li sty po szu ki wań sta re go ty pu, re solver pr óbowałby dołączać 
do na zwy ho sta na zwy vbrew.com i com. Ta ostatnia na zwa może być pro ble ma- 
tycz na, po nie waż do me nagroucho.edu.com może ist nieć na praw dę. Co wię cej, być 
może w tej do me nie ser wer znaj dzieją kie goś ho sta f oo i wska że nie na to, co po trze ba. 
Ta kie f ałszy we wy nikiposzuki wań mogą za gra żać sys te mo wi bez pie cze ństwa nie 
któ rych apli ka cji. Dla te go zwy kle po wi nie neś za wę żać do me ny na two jej liś cie pa 
szu ki wań do swo jej lo kal nej or ga ni za cji lub cze goś w tym ro dza ju. Na wy dzia le ma¬ 
tę maty kiuni wer syte tuGrouchoMarxlista po szukiwańpowinnabyćskonfigurowa 
na na maths.groucho.edu i groucho.edu. 
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Je żeli zro zu mie nie do my śl nych do men spra wia ci kłopot, przyj rżyj się po niż sze mu 
przykładowipliku resoh.conf dla wir tu al ne go bro wa ru: 

# /etc/resolv.conf 

# Nasza domena 

domain vbrew.com 

# 

# Jako gdównego serwera nazw udywamy vlager 
name server 172.16.1.1 

Przy roz wiązy wan iu na zwy vale , re solver owi nie uda się zna leźć vale, ale znaj dzie 

vale.vbrew.com . 

Siła re sol vera 

Je żeli obsługu jesz sieć lo kalną w ob rę bie du żej sie ci, zde cy do wa nie po wi nie neś ko¬ 
rzy stać z głów nych se rwe rów nazw, je żeli ta kie są do stęp ne. Ser we ry nazw mają 
ob szerną pa mięć podręczną, która przy spie sza od po wie dzi na powtórne za py ta¬ 
nia, a wszyst kie za py ta nia są kie ro wa ne właśnie do tych serwerów. Jed nak ten mo¬ 
del ma jedną wa dę: gdy by ogień znisz czyi ka bel szkie le tu na uni wer sy te cie Ola fa, 
nie można byłoby pracować w wydziałowej sieci LAN, ponieważ resolver nie 
mógłby się sko mu ni ko wać z żad nym z ser werów nazw. Ta ka sy tu acja po wo du je 
trud no ści z wię k szo ścią usług sie cio wych, ta kich jak lo go wa nie się z X ter mi na li 
czydru kowa nie. 

Choć nie zbyt czę sto zda rza się, że sie ci szkie le to we cam pu su płoną, to war to za bez- 
pie czyć się przed ta kim wy pad kiem. 

Jednym z rozwiązań jest skonfigurowanie lokalnego serwera nazw, który roz¬ 
wiązuje na zwy z do meny lo kaln ej i prze kaz uje wszyst kie za pyt ania o inne ho sty do 
głów nych se rwerów. Oczyw iście ma to sens je dyn ie wte dy, gdy po siad asz własną 
domenę. 

Al terna tywąmożebyćutrzy mywa nie za paso wejlistyhostówdla twojej do meny czy 
sieci lokalnej w pliku /etc/hosts. Można to zrobić bardzo łatwo. Po prostu konfi¬ 
guruj emy bi blio te kę re solve ra tak, aby w pierw szej ko lej no ści za da wała za py ta nia do 
DN S-u, a na stęp nie spraw dzała plik hostów. W pli ku /etc/host. conf po wi nie neś wpi¬ 
sać: order bind hosts, a w pli ku /etc/nsswitch.conf. hosts : dns f ileś. W ten 
sposób resolver wykorzysta plik hostów, jeżeli główny serwer nazw będzie nie¬ 
osiągalny. 

Jak działa DNS 

DNS porządku je na zwy ho stów w hie rar chii do men. Domena to zbiór ośrodków ma¬ 
szyn, kt óre są ja koś po wiąza ne ze sobą. Na przykład tworzą sieć (tak jak wszyst¬ 
kie ma szy ny w cam pu sie lub wszyst kie ho sty sie ci BIT NET), lub na leżą do pew nej 
or ga ni za cji (np. rządu Stanów Zjed no czo nych), lub leżą bli sko sie bie. Na przykład 
uni wer sy te ty są zwy kle gru po wa ne w do me nie edu, a ka żdy uni wer sy tet czy col le ge 
używa oddzielnej poddomeny, w któ rej są ze bra ne je go ho sty. Uni wer sy tet Gro ucho 
Marx po sia da do me nę groucho. edu, na to miast sieć lo kal na wy działu ma te ma ty ki 
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znajduje się w poddomenie maths.groucho.edu. W nazwach hostów z sieci 
wydziału powinny znajdować się domeny, a więc erdos będzie znany jakoerdos. 
maths.groucho.edu . Ta ka na zwa topełnanazwadomenowa zwy kle iden ty fi kująca da¬ 
ny host w ska li świa ta. 

Ry sun ek 6-1 po kaz uje po dział prze strzeni nazw. Wpis u góry drze wa, po pro stu 
krop ka, jest na zy w any domeną główną (ang. root do main) i obejm uje wszyst kie po zos- 
tałe do meny. Aby po kaz ać, że na zwa ho sta jest pełną nazwą do men ową, a nie nazwą 
względną dla ja kiejś (ukryt ej) do meny lo kaln ej, cza sem jest ona pi sana z kropką na 
ko ńcu. Krop ka ta oznac za, że ostatn im członem na zwy jest do mena główna. 

W za le żno ści od położę nia na zwy w hie rar chii, do me na może być na zy wa na do¬ 
meną naj wyższego po zio mu, dru gie go po zio mu lub trze ciegopoziomu.Poziomów 
jest jesz cze wię cej, ale rząd ko są uży wa ne. Po niż sza li sta po ka zu je te kil ka do men 
naj wy ż sze go po zio mu, z kt óry mi czę sto się możesz spo tkać: 


Domena 

Opis 

edu 

(Głów nie wUSA) Insty tu cje edu ka cyj ne, na przykład uni wer sy te ty. 

com 

Or ga ni za cje i f ir my ko mer cyj ne. 

org 

Or gani za cjeniekomercyjne. Pry watnesieci UUCP często należą dotejdomeny. 

net 

Ga te waye i inne ho sty ad mi ni stra cyj ne w sie ci. 

mil 

Amerykańskieinstytucjewojskowe. 

gov 

Amerykańskieinstytucjerządowe. 

uucp 

Ofi cjal nie, wszyst kie na zwy wcze śniej uży wa ne jako na zwy UUCP bez do men 
zo stały prze nie sio ne do tej do me ny. 


Hi sto rycz nie pierw sze czte ry do me ny były przy pi sa ne Sta nom Zjed no czo nym, ale 
ostat nio w prak ty ce na zew ni czej kładzie się na cisk na glo bal ny cha rak ter tych do¬ 
men, ró wnież w zna cze niu te ry to rial nym, bo prze cięż są do me na mi global ny mi naj- 
wyższe go rzędu (ang. glo bal Top Leoel Do ma ins -gTLD). Prowadzone są negocjacje 
na te matrozsze rze niazakresu gTLD, co może za owocu je większy mimo żliwościami 
wy bo ru w przyszłości. 

Poza Stanami Zjednoczonymi, każdy kraj używa domeny najwyższego poziomu 
wposta ci własne godwu literowegokodukrajuzdefiniowanegownormieISO-3166. 
Na przykład Fin łan dia uży wa do me ny fi; fr to do me na dla Frań cji, de dla Nie mieć, 
zaś au dla Au stra lii. Na po zo stałych po zio mach hie rar chii (tych po niż ej do me ny naj- 
wy ż sze go po zio mu), or ga ni za cja NIC ka ż de go kra ju może porządko wać na zwy ho¬ 
stów do wol nie. Au stra lia po sia da do me ny dru gie go po zio mu po dob ne do mię dzy- 
narodowychdomen najwyższego poziomu, czyli com.au i edu.au. Inne kraje, na 
przykład Niem cy, nie wy ko rzy stują te go do dat ko we go po zio mu, a ra czej wydłużają 
na zwę od noszącą się bez po śred nio do fir my, z którą jest związa na da na do me na. 
Nie jest niczym niezwykłym spotkanie domeny ftp.informatik.uni-enlargen.de. 
Ale to już spra wa Niem ców. 
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Oczy w iście ta kie do meny na rod owe nie oznac zają, że host w da nej do men ie znaj¬ 
duje się fi zyczn ie w da nym kra ju - oznac za to je dyn ie, że host zo stał za rej est rowany 
w or ganiza cjiNIC da nego kraju. Na przykład załóżmy, że szwedz ki prze mysłowiec 
ma fi lię swo jej fir my w Au stral ii, ale wszyst kie ho sty pra cujące w tej fi lii mogą być 
za rej est rowane w do men ie naj wyż sz ego po ziomu s e. 

Uporządkowanie przestrzeni nazw w hierarchii nazw domen to eleganckie roz¬ 
wiążą nie pro ble mu niepowtarzalności nazw. W DN S-ie wy stare zy, że na zwa ho sta 
bę dzie uni kątową we własnej do men ie, a po zos tanie taka na całym świec ie. Co wię¬ 
cej, pełne na zwy do men owe są łatwe do za pam ięta nia. Już te kil ka faktów prze ma¬ 
wia za po działem du żej do meny na kil ka do men podrzęd nych. 

DNS daje ci jeszcze więcej możliwości. Po zwala także na przekazywanie władzy 
nad pod dom ena mi ich ad min ist rator om. Na przykład osoby obsługujące cen trum 
kom pu te ro we uniwersytetu Gro ucho Max mogą stwo rzyć pod dom enę dla ka żd ego 
wydziału. Już spo tkaliśmy pod domeny math i physics. Kie dy stwierdzą, że sieć na 
wy dziale fi zyki jest zbyt duża i trud no nią zarządzać z zewnątrz (w ko ńcu wia dom o, 
że fi zycy to nie sforna gru pa lu dzi), mogą po pro stu prze kaz ać kon trolę nad do meną 
physics.groucho.edu ad min ist rator om tej sie ci. Ad min ist rator zy będą mie li pra wo 
nazywać hosty, jak chcą, i przy pis ywać ad resy IP z ich sie ci w do woln ie wy brany 
przez sie bie spo sób, bez ko niecz no ści uwzględ nia nia ja kich kol wiek su ge stii z ze w- 
nątrz. 
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W tym ce lu prze strzeń nazw jest po dzie lo na na strefy (ang. zones) opar te na do me nach. 
Zw róć uwagę na subtelną różnicę po mię dzy strefą a domeną : domenagroucho.edu 
zawie ra wszystkie hosty z uni wer sy te tu Gro ucho Marx, na to miast stre fa groucho.edu 
za wie ra je dy nie ho sty zarządza ne bez po śred nio przez cen trum kom pu te ro we - na 
przykład te na wy dzia le ma te ma ty ki. Ho sty na wy dzia le fi zy ki na leżą do in nej stre 
fy, a mia no wi cie physics.groucho.edu. Na ry sun ku 6-1 początek stre fy jest za zna- 
czo ny małym kółkiem przy na zwie do me ny. 

Po szu ki wa nie nazw w DN S-ie 

Na pierw szy rzut oka wy da je się, że cały ten po dział na do me ny i stre f y bar dzo kom 
pli ku je roz wiązy wa nie nazw. W za sa dzie, je żeli żad na władza cen trał na nie kon tro- 
lu je przy pi sy wa nia nazw ho storn, to skąd ma je znać skrom na apli ka cja? 

Teraz przej dźmy do na prawdę po mysłowej czę ści DN S-u. Gdybyś chciał zna leźć ad¬ 
res IP ho staerdos, DNS po wied ziałby: „Idź, za py taj lu dzi, kt órzy go obsługują, a oni 
ci po wiedzą". 

W rze czyw ist ości DNS to gi gant yczna roz pros zona baza da nych. Jest za im ple men 
to wa na w po stad tak zwa nych ser werów nazw, któ re do stare zają in form acji o za¬ 
dań ej do men ie lub ze staw ie do men. Ka żda stre fa ma przy najmn iej dwa (lub kil ka) 
ser werów nazw, któ re są źródłem wszel kich in form acji o ho stach z tej stre fy. Aby 
uzys kać ad res IP erdosa, wystarczyskontaktować się z serwerem nazw w strefie 
groucho.edu, a on zwr óci ci wy mag ane dane. 

Możesz po my ś leć: łatwo się mówi, ale trud niej to zro bić. Skąd mam wie dzieć, jak 
zna le źć ser wer nazw uni wer sy te tu Gro ucho? Je żeli tw ój kom pu ter nie jest wy po sa- 
żony w wy rocz nię, znaj dującą ad re sy, może za nią posłużyć ta kże DNS. Gdy two ja 
aplikacja chce znaleźć informacje o erdosie, kontaktuje się z lokalnym serwerem 
nazw, który na jej rzecz wy ko nu je tak zwa ne za py ta nia ite ra cyj ne. Roz po czy na od 
wysyłania za pytania o ad res erdos.maths.groucho.edu do ser we ra nazw do me ny 
głów nej. Ser wer nazw do me ny głów nej roz po zna je, że na zwa nie na le ży do stre fy 
będącej w je go władzy, ale na le ży do do me ny edu. Od po wiadanaszemuser wero wi 
nazw, że by w ce lu uzy ska nia dokład niej szych in for ma cji, skon tak to wał się z ser we 
rem nazw stre fy edu, i wy syła li stę wszyst kich serwer ów nazw edu wraz z ich ad re 
sa mi. Tw ój lo kal ny ser wer nazw działa da lej i wy syła za py ta nie do jed ne go z po le ce 
nych se rw er ów, na przykład a.isi.edu. Po dob nie jak ser wer nazw do me ny głów nej, 
tak i a.isi.edu wie, że lu dzie z grouche.edu mają własną stre fę i wska zu je ich ser we 
ry. Lo kal ny ser wer nazw na stęp nie kie ru je za py ta nie o erdosa do jed ne go z nich, 
który z ko lei osta tęcz nie iden ty fi ku je na zwę ja ko na leżącą do je go stre fy i zwra ca od- 
po wia dający jej ad res IP. 

Wygląda na to, że aby znaleźć jeden marny adres IP, trzeba wygenerowaćspory 
ruch, ale to i tak nic w por ównaniu z liczbą da nych, jaka mu siałaby być prze syłana, 
gdybyśmy wciąż ko rzystalizplikuHOSTS.TXT. Sche mat ten jed nak daje się udos¬ 
konalić. 

Aby skro cić czas od pow iedzi na przyszłe za pyt ania, ser wer nazw za pis uje uzys kane 
in form acje w lo kaln ej pa mięcipodręcz nej.T ak więc, je żeli ktoś z two jej sie ci lo kaln ej 
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będziechciałznowuznaleźćadreshostawdomeniegroucho.edu, twój ser wer nazw 
skon takt uje się bez poś rednio z ser wer em nazw w tej do me nie*. 

Oczywiście serwer nazw nie będzie przechowywał tej informacji wiecznie. Po ja¬ 
kimś cza sieją usunie. Czas jej prze chowywa niajestnazy w anyczasemży cm (ang. time 
to live), w sk rocie TTL. Wszyst kim da nym w DN S-ie ad min ist rator da nej stre fy przy¬ 
pis uje TTL. 

Typy serw er ów nazw 

Ser we ry nazw, które prze cho wują wszyst kie in for ma cje o ho stach zda nej stre fy, są 
nazywaneautorytatywnymiiang. authoritatwesewers ) dla tej stre fy, a cza sa mi główn ymi 
serwera minazw (ang. master na mese wers) . Wszel kie za py ta nia oho sta wda nej stre fie 
do cie rają w ko ńcu do serwerów głównych. 

Ser we ry główne muszą być do sko na le zsynchro ni zo wa ne. Tak więc ad mi ni stra tor 
stre fy mu si stwo rzyć je den ser w er podstawowy (ang. primary), któ ry ład u je in for ma- 
cje o stre fie z plik ów z da ny mi, i ser we ry zapasowe (ang. secondary), które prze syłają 
da ne o stre fie z ser we ra pod sta wo we go w rów nych od stę pach cza su. 

Dobrze jest mieć kilka serwerów nazw, gdyż można równomiernie rozłożyć ob¬ 
ciążenie i zagwarantować lepszą niezawodność. Gdy jedna z maszyn, na której 
działa ser wer nazw w łagod ny spos ób prze sta nie działać, na przykład sys tern ope ra- 
cyj ny ule gnie awa rii lub stra ci połączę nie z sie cią, wszyst kie za py ta nia będą kie ro- 
wane do innych serwerów. Oczywiście taki schemat nie zabezpiecza przed po¬ 
myłka mi (wy ni kający mi z błęd ów w opro gra mowa niu lub w sa mym pro gra mie ser- 
we ra), któ re po wo dują błęd ne od po wie dzi na wszyst kie za py ta nia DNS. 

Możesz ta kże uru cho mić ser wer nazw, który nie jest au to ry ta ty w ny dla da nej do me 
ny**. Jest to przydatne, gdyż taki serwer będzie w stanie realizować zapyta¬ 
nia DNS dla apli ka cji działających w sie ci lo kał nej i za trzy ma in for ma cje w pa mię¬ 
ci podręcz nej. Stąd ser we ry ta kie są na zy wa nes erwera mipamięcipodręcznej (ang. ca- 
chin g-onlyse wers). 

Baza da nych DNS 

Wi dzie liś my, że DNS nie tył ko po da je ad re sy IP hostów, ale ta kże wy mie nia in for¬ 
ma cje na te mat se rwerów nazw. Ba zy da nych DNS mogą mieć w prak ty ce wie le róż¬ 
nych typ ów wpi sów. 

Po je dyn cza por cja in for ma cji z ba zy DNS na zy wa się rekordemzasobu (ang. resource 
record - RR). Ka żdy re kord przy na le ży do ja kie goś ty pu i kia sy rek ordów. Typ opi su je 
rod zaj da nych re pre zen to wa nych w re kordzie. Na to miast kia sa okre śla ro dzaj sie ci, 
ja kiej do ty czy. Kia sa służy do obsługi różnych schematów ad re so wa nia, jak ad re sy 


* Je żeli in for ma cje nie byłyby gro ma dzo ne w pa mię ci podręcz nej, DNSbyłby równie nie efek t y w ny jak 
inne me to dy, po nie waż ka ż de za py ta nie wy ma gałoby skon tak to wa nia sięz ser we rami nazw do me ny 
głównej. 

** Ser wer nazwmusiza pewnićprzy najmniej usługę nazewniczą dlalocalhosti od wrotnewyszukiwanie 
dla 127.0.0.1). 
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IP (kia sa IN), ad re sy He siod (uży wa ne przez sys tem Ker be ros MIT) i kil ka in nych. 
Prototypowym rekordem zasobu jest rekord A wiążący pełną nazwę domenową 
zad resemlP. 

Host może być zna ny pod wię cej niż jedną nazwą. Na przykład możesz mieć kom- 
pu ter, któ ry po sia da ser we ry FTP i WWW do stęp ne pod dwo ma na zwa mi: f tp ,ma- 
chine.org i www.machine.org. Jed nak jed na z tych nazw mu si być ofi cjalną lub ka¬ 
noniczną nazwą ho sta, na to miast po zo stałe są po pro stu jej alia sa mi. Różn ica po le ga 
na tym, że ka no nicz na na zwa ho sta jest związa na z re kor dem A, na to miast po zo stałe 
mają je dy nie re kord ty pu CNA ME, wska żujący na na zwę ka no niczną. 

Nie będziemy tu przedstawiać wszystkich typów rekordów, ale podamy krótki 
przykład. Przykład 6-4 po kaz uje czę ść bazy da nych do meny, kt óra jest ład ow ana do 
se rw erów nazw dla stre fy physics.groucho.edu. 


Przykład 6-4. Frag ment pli ku na med.hosts wy działu fi zy ki 

; Authoritative Information on physics.groucho.edu. 

@ IN SOA niels.physics.groucho.edu. janet.niels.physics.groucho.edu 


1999090200 

360000 

3600 

3600000 


numer wersji 
odDwieDanie 
ponowna próba 
wygaDniDcie 



} 

3600 

; domyDlny ttl 

; serwery nazw 




IN 

NS 

niels 


IN 

NS 

gauss.maths.groucho.edu. 

gauss.maths, 

.groucho.edu. IN A 149.76.4.23 

; fizyka teoretyczna 

(podsieD 12) 

niels 

IN 

A 

149.76.12.1 


IN 

A 

149.76.1.12 

name server 

IN 

CNAME niels 

otto 

IN 

A 

149.76.12.2 

ąuark 

IN 

A 

149.76.12.4 

down 

IN 

A 

149.76.12.5 

strange 

IN 

A 

149.76.12.6 

; Laboratorium Collider (podsieD 14) 

boson 

IN 

A 

149.76.14.1 

muon 

IN 

A 

149.76.14.7 

bogon 

IN 

A 

149.76.14.12 


Po za re kor da mi A i CNA ME, możesz zo ba czyć na początku pli ku spe cjal ny re kord 
zaj mujący kil ka wier szy. Jest to re kord za sobów SOA (lub krócej: re kord SOA); SOA 
to skrót od angielskiego start of authority- początek władzy). Re kord ten za wie ra 
ogól ne in for ma cje o stre fie, dla której ser wer jest au to ry ta ty w ny i składa się mię dzy 
in ny mi z do my śl ne go cza su ży cia od noszące go się do wszyst kich rekord ów. 

Za uważ, że wszyst kie na zwy w pli ku przykład o wym, kt ó re nie ko ńczą się kropką, 
po winny być interpretowane względem do menyphysics.groucho.edu. Na zwa spe¬ 
cjał na (@) uży ta w przykład o wym re kor dzie SOA od no si się do sa mej na zwy do me ny. 
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Wcześniej zauważyliśmy, że serwery nazw domeny groucho.edu skądś wiedzą 
o stre fie physics, tak że mogą za da wać py ta nia do jej serwerów nazw. Zwy kle ro bi 
się to za po mocą pa ry re kordów: re kor du NS, który po da je pełną na zwę do me nową 
ser we ra, i re kor du A, kt óry wiąże ad res z tą nazwą. Po nie waż te re kor dy wiążą prze 
strzeń nazw, czę sto są na zy wa ne rekordami klejącymi (ang. gluerecords). Są to jedy¬ 
ne re kor dy, w kt óry ch stre fa nad rzęd na w rze czy wi sto ści prze cho wu je in for ma cje 
o ho s tach stre fy podrzęd nej. Re kor dy klejące wska żują na ser we ry nazw do me ny 
physics.groucho.edu , jak po ka za no w przykładzie 6-5. 

Przykład 6-5. Frag ment pli ku na med.hostszGMU 

; Dane dla strefy groucho.edu 
@ IN SOA vaxl2.gcc.groucho.edu 
1999070100 
360000 
3600 
3600000 
3600 

} 


;rekordy klejJce dla strefy physics.groucho.edu 


physics 

IN 

NS 

niels.physics.groucho.edu 


IN 

NS 

gauss.maths.groucho.edu. 

niels.physics 

IN 

A 

149.76.12.1 

gauss.maths 

IN 

A 

149.76.4.23 


Wyszukiwanieodwrotne 

Znajdowanieadresu IP na leżące go do ho sta jest pew nie naj pow szech niej szym za- 
sto so wa niem sys te mu nazw do men, ale cza sem chcesz zna le źć ka no niczną na zwę 
ho sta od po wia dającą ad re so wi. Znaj do wa nie na zwy ho sta jest na zy wa ne od wzo ro- 
iva niem od wrót nym (ang. rener se mapping ) i jest uży wa ne przez pew ne usługi sie cio we 
do weryfikacji tożsamości klienta. Wyszukiwanie odwrotne, przeprowadzane 
w opar ciu o plik hosts, po le ga po pro stu na prze szu ka niu pli ku i zna le zie niu w nim 
ho sta, do którego na le ży po szu ki wa ny ad res IP. W przy pad ku DN S-u skru pu lat ne 
prze szu kiwa nie prze strze ni nazw jest wy klu czone.Zamiastte go została stwo rzona 
spe cjal na do me na in-addr.arpa, kt óra za wie ra ad re sy IP wszyst kich hostów za pi sa- 
ne w od wrót nej no ta cji krop ko wej. Na przykład ad res IP 149.76.12.4 od po wia da na¬ 
zwie 4.12.76.149.in-addr.arpa. Re kord za so bu, kt óry łączą na zwy z od po wia dający¬ 
mi im ka no nicz ny mi na zwa mi ho stów, jest ty pu PTR. 

Tworzenie zarządzanej przez nas strefy zwykle oznacza, że jej administratorzy 
w pełni kon tro lują spo sób przy pis y wa nia adre sów do nazw. Po niew aż zwy kle mają 
w swo ich rę kach jedną lub wię cej sie ci lub pod sieci IP, od wzór owa nie stref DNS na 
sieci IP jest typu jedna-na-wiele. Na przykład wydział fizyki zawiera podsieci 

149.76.8.0,149.76.12.0 i 149.76.14.0. 


. joe.vaxl2.gcc.groucho.edu. { 
; numer wersji 
; odDwieDanie 
; ponowna próba 
; wygaDniDcie 
; domyDlny ttl 
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Ozna cza to, że wraz ze strefą physics w do me niein-addr.arpa muszą być stwo rzo ne 
i prze ka za ne ad mi ni stra to rom sie ci na wy dzia le no we stre fy: 8.76.149.in-addr.arp a, 
12.76.149.in-addr.arpa i 14.76.149.in-addr.arpa. W prze ciw nym ra zie do da nie no¬ 
wego hosta w laboratorium Collider wymagałoby skontaktowania się z domeną 
nad rzęd ną i wpro wa dze nia no we go ad re su do pliku stre fy in-addr.arpa. 

Ba za da nych stre f y dla pod sie ci 12 zo stała po ka za na w przykładzie 6-6. Od po wied nie 
rekordy klejące w bazie danych strefy nadrzędnej zostały pokazane w przykła¬ 
dzie 6-7. 


Przykład 6-6. Frag ment z pli ku na med.rev dla pod sie ci 12 


domena 12.76.149.in-addr.arpa 

IN SOA niels.physics.groucho.edu. janet.niels.physics.groucho.edu. { 
1999090200 360000 3600 3600000 3600 


2 IN PTR 

4 IN PTR 

5 IN PTR 

6 IN PTR 


otto.physics.groucho.edu. 
ąuark.physics.groucho.edu. 
down.physics.groucho.edu. 
strange.physics. groucho.edu . 


Przykład 6-7. Frag ment pli ku na med.rev dla sie ci 149.76 

; domena 76.149.in-addr.arpa 

@ IN SOA vaxl2.gcc.groucho.edu. joe.vaxl2.gcc.groucho.edu. { 
1999070100 360000 3600 3600000 3600 

} 


; posieD 4: wydziaD matematyki 


1.4 

IN 

PTR 

sophus.maths.groucho.edu 

17.4 

IN 

PTR 

erdos.maths.groucho.edu. 

23.4 

IN 

PTR 

gauss.maths.groucho.edu. 


; podsieD 12: wydziaD fizyki 
12 IN NS 

IN NS 

niels.physics.groucho.edu. 
gauss.maths.groucho.edu. 


oddzielna strefa 
niels.physics.groucho.edu 
gauss.maths.groucho.edu. 
IN A 149.76.12.1 
IN A 149.76.4.23 


Strefy systemu in-addr.arpamogą być two rzo ne tyl ko ja ko nadzbio ry sie ci IP. Jesz¬ 
cze po wa żniej szym ogra ni cze niem jest to, że ma ski tych sie ci muszą prze strze gać 
gra nic baj to wych*. Wszyst kie pod sie ci uni wer sy te tu Gro ucho Marx mają ma skę sie 
ci 255.255.255.0, a więc stre fain-addr.arpa możebyć utwo rzo na dla ka ż dej pod sie ci. 
Jednak, gdyby maska miała postać 255.255.255.128, utworzenie stref dla podsieci 
149.76.12.128 byłoby niemożliwe, ponieważ nie ma sposobu na poinformowanie 
DN S-u, że do me na 12.76.149. in-addr.arpa zo stała po dzie lo na na dwie stre fy, gdzie 
ho sty mają nu mery odpowiednio z za kr esów: odl do 127 i od 128 do 255. 


Ogra ni cze nie to nie do ty czy naj now szej wer sji BIND 8 (-prz yp. tłum.). 
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Eksploatacja named 

named (wy ma wiay.nejm-di) umo żli wia ko rzy sta nie z usługi DNS na wię k szo ści kom 
puterów uniksowych. Jest to program serwera, oryginalnie stworzony dla BSD, 
który służy do udo stęp nia nia usług na zew ni czych klien tom oraz in nym ser we rom 
nazw. Przez ja kiś czas był uży wa ny BIND w wer sji 4, obec ny w wie lu dys try bu cjach 
Linuk sa. No wa wer sja, o nu me rze 8 zo stała wpro wa dzo na w wię k szo ścidys trybu cji 
Linuk sa i znacz nie różni się od po przed nich wer sji*. Ma wie le no wych funk cji, ta¬ 
kich jak dy na micz ne uak tu al nia nie DN S-u, po wia do mie nie o zmia nach w DN S-ie, 
lepsza wydajność i nowa składania pliku konfiguracyjnego. Szczegóły znajdziesz 
w do ku men ta cji załączo ne j do pa kie tu dys try bu cyj ne go. 

Ten pod roz dział wy ma ga ro zu mie nia działania DN S-u. Je żeli czu jesz się jak na tu- 
rec kim ka za niu, może war to po now nie się gnąc do po przed nie go pod roz działu Jak 
działa DNS. 

named zwy kle jest uruc hami any w cza sie star tu sys temu i działa aż do za trzym ania 
maszyny. Implementacje wcześniejszych wersji BIND pobierały swoje informacje 
z pliku konfiguracyjnego /etc/named.boot i ró żnych pl ików za wier ających od wzor¬ 
owa nia nazw do men na ad resy. Te ostatn ie są na zyw ane plikamistref. Wer sje BIND 
od wer sji 8 wzwyż wy kor zyst ują na tom iast plik o na zwie /etc/named.conf. 

Aby uruc homić named, wpro wadź: 

# /usr/sbin/named 

named uru cho mi się i od czy ta plik named.boot oraz pli ki stref w nim wska za ne. Za pi¬ 
sze ID swo je go pro ce su w po sta ci pli ku ASCII o na zwie /oar/run/named.pid, ściągnie 
wszel kie pli ki stref z serwerów pod sta wo wych, o ile bę dzie ta ka po trze ba, i za cznie 
nasłuchi wać na por cie 53, ocze kując na za py ta nia DNS. 

Pliknamed.boot 

Plik kon fi gu ra cyj ny wcze śniej szej wer sji BIND miał bar dzo prostą struk tu rę. Na to- 
miast ten plik dla wer sji 8. ma znacz nie trud niejszą skład nię, obsługującą wie le no¬ 
wo wprowadzonych funkcji. Nazwa tego pliku zmieniła się z /etc/named.boot na 
/etc/named.conf. Sku pi my się na konfi gu ro wa niu star szej wer sji, po nie waż wię k szość 
dys try bu cji praw do po dob nie wciąż jesz cze jej uży wa, ale po ka żerny ta kże ró wno- 
ważny plik named.conf, że by zi lu stro wać ró żn ice i po wie my, jak kon wer to wać sta ry 
for mat na no wy. 

Plik named.boot]est ge ner alnie nie wielki i za wiera je dyn ie kil ka wska zań do plik ów 
główny ch z in form acj ami o stre fie i do in nych se rwerów. Ko ment arze roz poc zynają 
się hashem (#) lub średn iki em (;) i ciągną się do na stępn ego wier sza. Za nim bar dziej 
szc zegółowo omó wimy for mat named.boot, przyj rżymy się przykład ow emu pli kowi 
z ho sta vlager po kaz ane mu w przykładzie 6-8. 


BIND 4.9 zo stał stwo rzo ny przez Pau la Vixie, paul@vix.com, ale obec nie BIND jest utrzy my wa ny przez 
InternetSoftwareConsortium: bind-bugs@isc.org . 
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Przykład 6-8. Plik na med.boot dla ho sta vla ger 

; plik /etc/named.boot dla hosta vlager.vbrew.com 


directory 

/var/named 


: 

domena 

plik 

cache 


named.ca 

primary 

vbrew.com 

named.hosts 

primary 

0.0.127.in-addr.arpa 

named.local 

primary 

16.172.in-addr.arpa 

named.rev 


Przyj rżyjmy się ko lejno ka żd ej dy rekt y wie. Słowo klu czo we directoryin form uje 
pro gram named, że wszyst kie da lej wy mień ione pli ki, czy li w tym przykładzie pli ki 
stref, znaj dują się w ka tal ogu /oar/named W re zult acie jest nie co mniej pi san ia. 
Słowo klu czowep rimarywi doczne w tym przykładzie ład uje in form acje do named. 
In form acje te są bra ne z pli ków główn ych poda nych jako ostatn ie pa ram etry w wier¬ 
szu. Te pli ki za wier ają re kordy za sobów DNS, kt órym przyj rżymy się da lej. 

W tym przykładzie skonfigurowaliśmy named jako pod staw owy ser wer nazw dla 
trzech do men, co po kaz ują trzy dy rekt y wy p r ima r y . Pierw sza z nich na kaz uje pro¬ 
gram owi named działać jako pod staw owy ser wer dla do menyvbrew.com i od czy ty- 
wać dane o stre fie z pli ku named.hosts. 

Słowo klu czo we c a c h e ma szczególne zna cze nie i po win no być obec ne na wszyst¬ 
kich kom pu te rach, na których działa ser wer nazw. Po wo du je ono, że named włącza 
swoją pa mięć podręczną i ład u je wska zaniadoserwe ra nazw do meny głównej (ang. root 
name sewer hints) z pliku pamięci podręcznej (w naszym przykładzie named.ca). 
Wrócimy do te go w po niż szej liś cie. 

Oto li sta naj waż niejsz ych opcji, ja kich możesz używ ać w pli ku named. boot: 

directory 

Ta opcja wyznacza katalog, w którym znajdują się pliki stref. Nazwy plików 
w in nych opcjach mogą być poda ne wzglę dem tego ka ta lo gu. Wie lo krot nie uży¬ 
wając dy rek ty wy directory, mo żna okre ślić kil ka kat alogów. Stan dard sys te 
mu pli ków Linuk sa mówi, że po win no się uży wać ka ta lo gu /uar/named 

primary 

Ta opcja przyj mu je jako ar gu ment na zwę do me ny i na zwę pli ku oraz mówi, że 
lo kal ny ser wer jest au to ry ta ty w ny dla da nej do me ny. Jako ser wer pod sta wo wy, 
namedl ad u je in for ma cje o stre fie z za da ne go pli ku główn ego. 

W ka żdym pli ku boot bę dzie ist niał przy najm niej je den wpis primarydo tyczący 
odwrotnegoodwzorowaniasieci 127.0.0.0-lo kal nejsie ci pętli zwrot nej. 

secondary 

Ta dy rek ty wa jest uży wa na z nazwą do me ny, listą ad re sów i nazwą pli ku jako 
ar gu men ta mi. Mówi, że lo kal ny ser wer jest ser we rem za pa so wym (ang.se eon da¬ 
ry ma ster se wer) dla da nej do me ny. 

Ser wer za pa so wy ta kże za wie ra au to ry ta ty w ne dane o do me nie, ale nie od czy¬ 
tuje ich z pl ików, tyl ko pró buje je ład o wać z ser we ra pod sta wo we go. W liś cie ad- 
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res ów na le ży po da ćnamed przy najm niej je den ad res IP ser we ra pod sta wo we go. 
Ser wer lo kal ny kon tak tu je się ko lej no z ka żdy m z nich, aż uda mu się po praw nie 
sko pio wać bazę da nych stref, która na stęp nie jest za pi sy wa na w pli ku za pa so- 
wym o na zwie poda nej jako trze ci ar gu ment. Je żeli ża den z se rwerów głów nych 
nie od po wia da, dane o stre fie są od czy ty wa ne z pli ku za pa so we go. 

named pr obuje odś wie żać dane o stre fie w re gu lar nych od stę pach cza su. Pro ces 
ten wyją śnią my da lej w połączę niu z re kor dem za so bu SOA. 

cache 

Ta opcja wy ma ga poda nia na zwy do me ny i na zwy pli ku jako arg umentów. Plik 
zawiera wskazania do serwerów nazw domeny głównej, czyli listę rekordów 
z ich na zwa mi. Roz po zna wa ne są je dy nie re kor dy NS i A. doma i n po win no być 
usta wio ne na na zwę do me ny głów nej, czy li po pro stu krop kę (.). 

Ta in for ma cja jest klu czo wa dla named. Je żeli w pli ku star to wym nie wy stę pu je 
dyrektywa cache, named nie utwo rzy w ogóle lo kal nej pa mię ci podręcz nej. Taka 
sy tu acja (brak tej funk cji) po wa żnie zmniej szy wy daj ność i zwię k szy obciążę nie 
sie ci, je żeli przepyty wa ne ser wery nie znaj dują się w sie ci lo kal nej. Co wię ce],na¬ 
med nie bę dzie w sta nie skon tak to wać się z żad nym z ser werów nazw do me ny 
głów nej, a więc nie bę dzie mógł roz wiązać adr esów in nych, niż te, dla kt órych 
jest autorytatywny. Wyjątkiem od tej reguły są ser wery przekazujące (ang./or- 
wardingserners; zo bacz opcja f orwarders opisana poniżej). 

forwarders 

Ta dy rek ty wa wy ma ga jako ar gu men tu li sty ad resów z se pa ra to ra mi w po sta ci 
białych zn aków. Ad re sy IP na tej liś cie od po wia dają ser we rom nazw, któ re named 
może py tać, je żeli nie uda mu się od po wie dzieć na za py ta nie na pod sta wie lo kal- 
nej pa mię ci podręcz nej. Są one spraw dza ne po ko lei, aż kt ór yś od po wie na za py¬ 
ta nie. Zwy kle w tym miej scu po da jesz ser wer nazw swo je go do staw cy sie ci lub 
inny do brze zna ny ser wer. 

slave 

Ta dy rek ty wa po wo du je, że ser wer nazw jest de fi nio wa ny jako ser wer podległy 
(ang. słane seroer). Nigdy sam nie realizuje zapytań rekurencyjnych, a jedynie 
prze ka zu je je do serw er ów okre ślo nych w dy rek ty wie forwarders. 

Ist nieją dwie opcje, których tu taj nie opi su je my: sortlisti domain. W pli kach baz 
da nych można używać także dwóch innych dyrektyw: $INCLUDE i $0RIGIN. Po- 
nie waż są one rząd ko po trzeb ne, nie opi su je my ich tu taj. 

Plik host.conf dla wer sji BIND 8 

BIND w wer sji 8 wpro wa dza sze reg no wych funk cji i wraz z ni mi nową skład nię pli¬ 
ku konfiguracyjnego. Plik named .boot ze swoimi pro sty mi, jedno wierszo wy mi dy- 
rek ty wa mi zo stał za stąpio ny przez plik named.conf, który ma skład nię po dobną do 
gated, a więc przy po mi nającą skład nię pli ku źródłowe go w ję zy ku C. 

Nowa skład nia jest bar dziej skom pli ko wa na, ale na szczę ście przy go to wa no na rzę¬ 
dzie, które automatycznie konwertuje starą składnię na nową. W pakiecie źród¬ 
łowym BIND 8 do da no pro gramnamed-bootconf.plna pi sa ny w Per lu, któ ry od czy tu- 
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je ist niejący plik named.boot z stdin i kon wer tu je go na równoważny plik w for ma¬ 
cie named.conf, wy pi sy wa ny na s t dou t . Aby użyć kon wer te ra, mu sisz mieć za in sta¬ 
ło wanyinterpreter Per la. 

Skryp tu używa się w na stęp ujący sp osób: 

# cd /etc 

# named-bootconf.pl <named.boot >named.conf 

Two rzy on plik named.conf, po dobny do po kaz ane go w przykładzie 6-9. Usuń ęli śmy 
kil ka po mocn ych ko ment arzy, ja kie do daje skrypt, aby le piej było wi dać pra wie bez- 
poś redni związek po międ zy starą i nową składnią. 

Przykład 6-9. Rów noważny plik na med.conf z ser we ra vla ger dla wer sji 8 BIN D-a 

// 

// plik /etc/named.boot dla serwera vlager.vbrew.com 
options { 

directory "/var/named"; 

} ; 


zonę "." { 

type hint; 
file "named.ca"; 

} ; 


zonę "vbrew.com" { 

type master; 

file "named.hosts"; 

} ; 


zonę "O.O.127.in-addr.arpa" { 
type master; 
file "named.local"; 

} ; 


zonę "16.172.in-addr.arpa" { 
type master; 
file "named.rer"; 

} ; 

Je żeli przyj rzysz się uwa żniej, spo strze żesz, że ka żda z jed no wier szo wych dy rek- 
tyw pli ku named.boot zo stała za mie nio na w pli ku named.conf na dy rek ty wę w sty lu 
ję zy ka C, ujętą w na wia sy {}. 

Ko men ta rze, które w pli ku named.boot były ozna czo ne śred ni kiem (;), tu taj są sy gna li- 
zowanedwomaukośnikamif//). 

Dyrektywa directory została za mieniona na akapit options, w którym znaj duje 
się klau żula directory. 

Dyrektywy cache i primary zostały za mienione na akapity zonę z klauzulami 
type,wska żującymi od pow iednionahint i master. 

Pli ki stref nie muszą być w żad en spo sób mo dyf iko wane. Ich skład nia po zos taje bez 
zmian. 
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Nowa skład nia pli ku kon fig ura cyj nego po zwala na użyć ie wie lu opcji, których tu taj 
nie omaw iali śmy. Je żeli szu kasz in form acji na ich te mat, naj leps zym źródłem jest 
do kum enta cja do stare zana w pa kiec ie źródłowym BIN D-a w wersji 8. 

Pliki bazy danych DNS 

Pli ki główne związa ne z named, ta kie jak named.hosts, zawsze przy na leżą do jakiejś 
do me ny, kt óra no si na zwę początkowej (ang. origin ) .Jest to na zwa do me ny okre ślo na 
przez opcje cache i primary.Wplikugłównymmożeszpodawaćnazwydomen 
i ho stów wzglę dem tej do me ny. Na zwy poda ne w pli ku kon fi gu ra cyj ny m są trak to- 
wa ne ja ko bezwzględne, je żeli ko ńczą się kropką - w prze ciw nym ra zie są one od no¬ 
szone do domeny początkowej. Do samej domeny początkowej można się odwo¬ 
ływać, uży wając zna ku (@). 

Da ne za war te w pli ku główn ym są po dzie lo ne na rekordy zasób ów (ang. resourcere- 
cords - RR). RR są najmniejszymijednostkami informacjidostępnymi przez DNS. 
Ka żdy re kord za so bu ma typ. Re kor dy ty pu A na przykład wiążą na zwę ho sta z ad- 
re sem IP, a re kor dy CNA ME za wie rają alias ofi cjal nej na zwy ho sta. Możesz to zoba¬ 
czyć w zamieszczonym dalej przykładzie 6-11, który pokazuje plik główny na¬ 
med . /zosf sdla bro wa ru wir tu al ne go. 

Re prez enta cja re kordu za sobu w pli kach główn ych ma wsp ólny for mat: 

[ domena] [ttl] [klasa] typ danerek 

Pola są od dziel ane spa cjami lub ta bul ato rami. Wpis może li czyć kil ka wier szy, je żeli 
przed pierw szym no wym wier szem i po ostatn im polu po jawią się na wiasy klam¬ 
rowe. Wszyst ko po międ zy średn iki em a zna kiem no wego wier sza jest ignor owa ne. 
Oto opis pól: 

domena 

Jest to na zwa do me ny, kt ór ej do ty czy wpis. Je żeli na zwa do me ny nie jest poda na, 
uzna je się, że RR do ty czy do me ny z po przed nie go RR. 

ttl 

Aby wy mu sić na re solve rach usu wa nie in for ma cji po pew nym cza sie, z ka żdym 
RR jest związany czas ży cia (ttl). Pole ttl okre śla, w se kun dach, czas wa żno ści in- 
for ma cji, li czo ny od mo men tu jej uzy ska nia z ser we ra. Jest to licz ba dzie sięt na, 
maksymalnieośmiocyfrowa. 

Je żeli nie zo sta nie poda na war tość ttl, przyj mo wa na jest do my śl na war tość pola 
minimumpo przed nie go re kor du SOA. 

klasa 

Jest to kia sa ad re su, jak IN dla ad re sów IP czy HS dla ob ie któw z kia sy He siod. 
W sie ci TCP/IP mu sisz po da wać IN. 

Je żeli nie zo sta nie poda ne pole kia sy, przyj mo wa na jest kia sa z po przed nie go RR. 

typ 

To pole opi su je typ RR. Naj czę ściej uży wa ne typy to A, SOA, PTR i NS. W dal¬ 
szych pod roz działach opi sa no róż ne typy RR. 
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danerek 

To pole za wie ra dane związane z RR. For mat tego pola za le ży od typu RR. W dal¬ 
szej czę ści opi sze my od dziel nie ka żdy RR. 

Oto wybiórcza li sta RR uży wa nych w pli kach główn ych DNS. Ist nie je jesz cze kil ka 
in nych re kordów, kt órych nie będzie my tu opi sy wać, gdyż są al bo eks pe ry men tal- 
ne,alborzadkouży wa ne: 

SOA 

Ten RR opi su je stre fę władzy (SOA ozna cza „początek władzy"). Sy gna li zu je, że 
re kor dy wy stę pujące po tym typie RR za wie rają in for ma cje au to ry ta tyw ne dla 
do me ny. Ka żdy plik główny wpi sa ny w dy rek ty wiep r ima r y musi za wie rac re 
kord SOA dla da nej stre fy. Do pusz czai ne są na stę pujące pola: 

origin 

To pole za wie ra ka no niczną na zwę ho sta pod sta wo we go ser we ra nazw dla tej 
domeny, z wy klepisanąwpostacina z wy bez względ nej. 

contact 

To pole to ad res e-ma il oso by od po wie dział nej za utrzy ma nie do me ny; w tym ad¬ 
resie znak @ został zastąpiony kropką. Na przykład, gdyby osobą odpowie 
dzialną za browar wirtualny była janet, pole miałoby postać janet.vbrew. 

com. 

serial 

To pole za wie ra nu mer wer sji pli ku stre fy wy ra żony w po sta ci jed nej licz by dzie 
siętnej. Gdy dane w pliku strefy zostaną zmienione, numer ten powinien zo¬ 
stać zwię k szo ny. Przyjęło się, że nu mer ten to data ostat nie go uak tu al nie nia z de 
danym numerem wersji - na wypadek kilku uaktualnień w ciągu dnia. Na 
przykład 2000012600 oznacza uaktualnienie numer 00 z dnia 26 stycznia2000 
roku. 

Numer jest uży wany przez za pa sowę serwery nazw do rozpozna wania zmian 
w in for ma cjach o stre fie. Aby być na bieżąco, ser we ry za pa so we co ja kiś czas od- 
czy tują re kord SOA se rwerów pod sta wo wych i por ówn ują nu mer z własnym re 
kor dem SOA. Je żeli nu mer się zmie nił, ser we ry za pa so we ściągają całą bazę da¬ 
nych z ser we rapodstawowego. 
refresh 

Topoleokreślawsekundach,cojakiczasser we ryzapasowepo win nysprawdzać 
re kord SOA ser we ra pod sta wo we go. Znów jest to licz ba dzie sięt na złożona mak¬ 
sy mai nie z ośmiu cyfr. 

Ogólnie rzecz biorąc to po lo gia sie ci nie zmie nia się zbyt czę sto, a więc ta licz ba 
po win na być usta wio na na około je den dzień w przy pad ku wię k szych sie ci, a na¬ 
wet dłużej w przy pad ku mniej szych sie ci. 

retry 

Ta licz ba okre śla odstępy czasu, w któr ych ser wer za pa so wy po wi nien pr ób ować 
kon tak to wać się z ser we rem pod sta wo wym, je żeli nie uda się mu odś wie żyć da¬ 
nych o stre fie. Nie może być ona zbyt mała, gdyż w ra zie chwi lo wej awa rii ser we 
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ra lub sie ci ser wer za pa so wy bę dzie mar no wał za soby sie cio we. Za le ca się od stę¬ 
py go dżin ne lub półgo dżin ne. 

expire 

To pole okre śla czas w se kun dach, po kt órym ser wer za pa so wy po wi nien osta- 
tecz nie usunąć wszyst kie dane o stre fie, je żeli nie był w sta nie skon tak to wać się 
z ser we rem główn ym. Zwy kle po wi nie neś zde fi nio wać to pole na przy najm niej 
tydzień (604 800 sekund), ale wydłużenie do miesiąca lub większe, także ma 
sens. 

minimum 

To pole za wie ra do my ślną war tość t1 /dla rek ordów zas obów, któ re nie de fi niują 
jej jaw nie. War tość ttl określa maksymalny czas, przez jaki inne serwerynazw 
mogą trzy mać RR w swo jej pa mię ci podręcz nej. Czas ten do ty czy tyl ko zwykłych 
po szu ki wań i nie ma nic ws pól ne go z cza sem, po któ rym ser we ry za pa so we po- 
win ny pr óbo wać uak tu al nić swo je in for ma cje o stre fie. 

Je żeli to po lo gia two jej sie ci nie zmie nia się czę sto, wy star czy, że usta wisz ttl na 
ty dzień, a na wet dłuż szy okres cza su. Je żeli po je dyn czy re kord RR zmie nia się 
czę sto, zaw sze możesz przy pi sać mu in dy wi du al nie mały ttl. Je żeli two ja sieć 
zmie nia się czę sto, możesz ze chcieć usta wi ćminimum na je den dzień (86 400 se¬ 
kund). 

Ten rekord wiąże adres IP z nazwą hosta. Pole danych zasobu zawiera adres 
w no ta c ji kr op ko wej. 

Może istnieć tyl koję den re kord A dla da ne go ho sta. Nazwa ho sta uży wa na w re 
kor dzie A jest uzna wa na za ofi cjalną, in a czej kanoniczną , na zwę ho sta. Wszyst kie 
po zo stałe na zwy ho sta to alia sy, które muszą być od wzo ro wa ne na na zwę ka no- 
niczną za pomocą rekordu CNAME. Jeżeli nazwa kanoniczna naszego hosta 
brzmiałaby vlager, mie li by śmy re kord A wiążący tę na zwę z ad re sem IP tego ho¬ 
sta. Po nie waż cza sem chce my związać z ad re sem ta kże inną na zwę, po wiedz my 
news, mamy mo żli wość stwo rze nia re kor du CNAME, kt óry wiąże na zwę al ter¬ 
na ty wną z nazwą ka no niczną. Wię cej na te mat re kordów CNAME po wie my już 
wkrótce. 

Re kor dy NS są uży wa ne do okre śle nia pod sta wo we go ser we ra stre fy i wszyst¬ 
kich jej serwer ów za pa so wych. Re kord NS wska żuje na główny ser wer nazw da¬ 
nej stre fy, a pole da nych za so bu za wie ra na zwę tego ser we ra. 

Z re kor da mi NS spo tkasz się w dwó ch sy tu acjach: po pierw sze, je żeli prze ka żu¬ 
jesz władzę stre fie podrzęd nej, a po dru gie, w główn ej ba zie da nych sa mej stre fy 
podrzęd nej. Ze staw se rwerów poda nych w obu stre fach (nad rzęd nej i podrzęd¬ 
nej) po wi nien być taki sam. 

Re kord NS okre śla na zwę pod sta wo we go i za pa so we go ser we ra nazw dla stre fy. 
Na zwy te muszą być za mie nio ne na ad re sy, aby mo żna było z nich ko rzy stać. 
Czasamiserwery należą do domeny, którą obsługują, co rodzi problem „jajka 
i kury". Nie możemy zna le źć ad re su, do pó ki ser wer nazw jest nie osiągał ny, ale 
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też nie możemy do trzeć do serwera nazw, dopóki nie znajdzie my jego adresu. 
Aby roz wiązać ten dy le mat, możemy skon fi gu ro wać spe cjal ne re kor dy A bez po¬ 
średnio w serwerze nazw strefy nadrzędnej. Rekordy A pozwalają serwerom 
nazw do me ny nad rzęd nej roz wiązy wać ad re sy IP se rw erów stre fy podrzęd nej. 
Te re kor dy są po wszech nie na zy wa ne rekor damiklejącymi, po nie waż dają mo żli- 
wość powiążą nia stre fy podrzęd nej z jej strefą nad rzędną. 

CNAME 

Ten re kord wiąże alias z kanoniczną nazwą ho sta. Udo stęp nia on alternatywną 
na zwę, za po mocą kt órej użyt kow ni cy mogą odwoływać się do ho sta, kt órego 
na zwa ka no nicz na jest poda na jako pa ra metr. Ka no nicz na na zwa ho sta to taka, 
dla kt órej w pli ku główn ym ist nie je re kord A. Alia sy są po pro stu związane z tą 
nazwą po przez re kord CNAME, ale nie mają in nych własnych rekordów. 

PTR 

Ten typ rekordu jest używany do powiązania nazw w domenie in-addr.arpa 
z na zwa mi ho stów. Służy do od wrót ne go od wzo ro wa nia ad res ów IP na na zwy 
ho stów. Poda na na zwa ho sta musi być nazwą ka no niczną. 

MX 

TenRRokre ślahostwymieniający pocztę (ang. mailexchanger)dladomeny.Hosty 
wy mie niające pocz tę są omów ione w roz dzia le 17, Poczta elektroniczna. Skład nia 
re kor du MX jest na stę pująca: 

[ domena] [ttl] [.klasa] MX priorytet host 

Ho st to na zwa ho sta wy mie mającego pocz tę dla domeny. Z ka żdym ho stem wy- 
mieniającym pocztę związany jest priorytet. Agent transportowy poczty, 
który chce dostarczyć pocztę do domeny, sprawdza wszystkie hosty, które dla 
da nej do me ny mają re kord MX, aż mu się uda z ja ki mś skon tak to wać. Naj pierw 
jest spraw dza ny host o naj niż szym prio ry te cie, a na stęp nie po zo stałe - w ros- 
nącejkolejnościpriorytetów. 

HINFO 

Ten re kord za wie ra in for ma cje o sprzę cie i opro gra mo wa niu sys te mu. Skład nia 
jestna stę pująca: 

[ domena] [ttl] [klasa] HINFO sprzUt oprogramowanie 

Pole sprzD t iden ty fi ku je sprzęt uży wa ny w da nym ho ście. Do jego opi sa nia 
stosowane są specjalne konwencje. Lista dopuszczalnych „nazw maszyn" 
jest poda na w RFC AssignedNu m bers (RFC-1700). Je żeli pole za wie ra spa cje, musi 
być uję te w cu dzysłów. Pole oprogramowanie opi su je sys tem operacyjny uży¬ 
wa ny przez dany host. Znów do pusz czai ne na zwy są opi sa ne w RFC Assigned 
Numbers. 

Re kord HINFO opi sujący kom pu ter opar ty na pro ce so rze In tel z za in sta lo wa nym 
Linuk sem po wi nien wyglądać na stę pująco: 

tao 36500 IN HINFO IBM-PC LINUX2.2 
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Na to miast re kord HIN FO dla Linuk sa działającego na kom pu te rze z pro ce so rem 
Mo to ro la 68000 mógłby wyglądać tak: 

cevad 36500 IN HINFO ATARI-104ST LINUX2.0 

jedd 36500 IN HINFO AMIGA-3000 LINUX2.0 

Konfiguracjanamedjakoserwerapamięci podręcznej 

Istnieje szczególny typ konfiguracji named, który należy omówić, zanim wyjaśni¬ 
my, jak w pełni skonfigurować serwer nazw. Jest to konfiguracja serwera pamię¬ 
ci podręcznej. W rze czy wi sto ści nie obsługu je on do me ny, ale działa ja ko prze ka ź- 
nik dla wszyst kich za py tań DNS wy ge ne ro wa nych przez ho sty. Za letą ta kie go sche 
ma tu jest two rze nie pa mię ci podręcz nej, a więc tyl ko pierw sze za py ta nie o za da ne 
ho sty jest w rze czy wi sto ści wy syłane do ser we ra nazw w In ter ne cie. Od po wie dzi na 
wszelkie powtórne zapytania będą wysłane bezpośrednio z pamięci podręcznej 
two je go lo kal ne go ser we ra nazw. Może te raz nie wy da je się to zbyt uży tęcz ne, ale 
zmie nisz zda nie, je żeli za czniesz łączyć się z In ter ne tern przez te le fon, co opi sa no 
w roz dzia le 7, IP łącza sze rego we go, i roz dzia le 8, Pro tokół punkt-punkt. 

Plik named.boot dla ser wera pa mięci podręcz nej wygląda na stęp ująco: 

; plik named.boot dla serwera pamiDci podrDcznej 
directory /var/named 

primary 0.0.127.in-addr.arpa named.local ; sieD hosta lokalnego 

cache . named.ca ; serwery domeny gDównej 

Poza powyższym plikiem named.boot, musisz też skonfigurować plik named.ca, 
w któ rym bę dzie się znaj do wała po praw na li sta se rwerów nazw do me ny głów nej. 
Możesz skopio wać iwykorzystaćdotegoceluprzykladó-lO.Dokonfiguracjiser we 
ra nazw ja ko ser we ra pa mię ci podręcz nej nie są po trzeb ne żad ne in ne pli ki. 

Tworzenie plików głównych 

Przykłady od 6-10 do 6-13 po ka żują przykład o we pli ki ser we ra nazw sie ci bro wa ru, 
umieszczonego na ho ście vlager. Ze względu na cha rak ter omawia nej sie ci (po je 
dyn cza sieć lo kal na) przykład jest dość pro sty. 

Plik pa mię ci podręcz nej named.ca, poda ny ja ko przykład 6-10, po ka zu je przykład o- 
we rekordy wskazujące serwer nazw domeny głównej. Typowy plik pamięci 
podręcznej zwykle zawiera listę kilku serwerów. Aktualną listę serwerów nazw 
dome ny głów nej możesz uzy skać za po mocą na rzę dzia nslookup opi sa ne go w na stęp 
nym pod roz dzia le*. 


* Za uważ, że nie możesz za py tac ser we ra nazw o serwery nazw do me ny głów nej, je żeli nie mas z za in sta¬ 
ło wa nych żad nych wska zań na ser we ry do me ny głów nej. Aby roz wiązać ten pro blem, możesz ustawić 
nslookup tak, aby sko rzy stał z in ne go ser we ra nazw, albo użyć przykład o we go pli ku z przykładu 6-10 
jako punk tu wy jś cia, a na stęp nie uzy skać pełną li stę do pusz czai nych se rwer ów. 
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Przykład 6-10. Plik na med.ca 


; /var/named/named.ca Plik pamiDci podrdcznej dla browaru. 
; Nie jesteDmy podUDczeni do Internetu, a wiDc 

; nie potrzebujemy Dadnych serwerów nazw domeny 

; gDównej. Aby uaktywniD te rekordy, usuD Dredniki. 


;A.ROOT-SERVERS.NET. 
;B.ROOT-SERVERS.NET. 
;C.ROOT-SERVERS.NET. 
;D.ROOT-SERVERS.NET. 
;E.ROOT-SERVERS.NET. 
;F.ROOT-SERVERS.NET. 
;G.ROOT-SERVERS.NET. 
;H.ROOT-SERVERS.NET. 
;I.ROOT-SERVERS.NET. 
;J.ROOT-SERVERS.NET. 
;K.ROOT-SERVERS.NET. 
;L.ROOT-SERVERS.NET. 
;M.ROOT-SERYERS.NET. 


3600000 

IN 

NS 

3600000 


A 

3600000 

IN 

NS 

3600000 


A 

3600000 

IN 

NS 

3600000 


A 

3600000 

IN 

NS 

3600000 


A 

3600000 

IN 

NS 

3600000 


A 

3600000 

IN 

NS 

3600000 


A 

3600000 

IN 

NS 

3600000 


A 

3600000 

IN 

NS 

3600000 


A 

3600000 

IN 

NS 

3600000 


A 

3600000 

IN 

NS 

3600000 


A 

3600000 

IN 

NS 

3600000 


A 

3600000 

IN 

NS 

3600000 


A 

3600000 

IN 

NS 

3600000 


A 


A. ROOT-SERVERS.NET. 
198.41.0.4 

B. ROOT-SERVERS.NET. 
128.9.0.107 

C. ROOT-SERVERS.NET. 

192.33.4.12 

D. ROOT-SERVERS.NET. 
128.8.10.90 

E. ROOT-SERVERS.NET. 
192.203.230.10 

F. ROOT-SERVERS.NET. 
192.5.5.241 

G. ROOT-SERVERS.NET. 
192.112.36.4 

H. ROOT-SERVERS.NET. 
128.63.2.53 

I. ROOT-SERVERS.NET. 
192.36.148.17 

J. ROOT-SERVERS.NET. 
198.41.0.10 

K. ROOT-SERVERS.NET. 
193.0.14.129 

L. ROOT-SERVERS.NET. 

198.32.64.12 

M. ROOT-SERVERS.NET. 
202.12.27.33 


Przykład 6-11. Plik na med.hosts 

; /var/named/named.hosts Hosty lokalne w browarze 

; domena vbrew.com 

@ IN SOA 


IN NS 

; poczta lokalna jest dystrybuowana na vlager 
IN MX 10 vlager 

; adres pOtli zwrotnej 
localhost. IN A 127.0.0.1 

; Ethernet browaru wirtualnego 
vlager IN A 172.16.1.1 
vlager-ifl IN CNAME vlager 
; vlager to takDe serwer grup dyskusyjnych 


vlager.vbrew.com. janet.vbrew.com { 


2000012601 

86400 

3600 

3600000 

604800 


numer kolejny 
odDwieDanie: 
ponowna próba: 
wygaDniDcie: 
minimum: 


raz dziennie 
co godzinD 
42 godziny 
1 tydzieD 


vlager.vbrew.com. 
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Rozdział 6: Usługi na zewnicze ikon figu ro wa nie re solve ra 


news 

IN CNAME 

vlager 

vstout 

IN A 

172.16.1.2 

vale 

IN A 

172.16.1.3 

; Ethernet 

winiarni wi 

rtualnej 

vlager-if2 

IN A 

172.16.2.1 

vbardolino 

IN A 

172.16.2.2 

vchianti 

IN A 

172.16.2.3 

vbeaujolais 

IN A 

172.16.2.4 


; Ethernet wirtualnej fabryki napojów alkoholowych 
; (dodatkowych) 

vbourbon IN A 172.16.3.1 

vbourbon-ifl IN CNAME vbourbon 

Przykład 6-12. Plik na med.lo cal 


; /var/named/named.local Odwzorowanie odwrotne sieci 127.0.0 

; domena poczDtkowa 0.0.127.in-addr.arpa. 


0 


1 


IN SOA vlager.vbrew.com. joe.vbrew.com. { 


1 

360000 

3600 

3600000 

360000 


numer kolejny 
odDwieDanie: 
ponowna próba: 
wygaDniDcie: 
minimum: 


co 100 godzin 
co godzinD 
42 dni 
100 godzin 


IN NS vlager.vbrew.com. 

IN PTR localhost. 


Przykład 6-13. Plik na med.rev 


; /var/named/named.rev Odwzorowanie odwrotne naszych adresów IP 

; domena poczDtkowa to 16.172.in-addr.arpa. 


0 


IN SOA vlager.vbrew.com. joe.vbrew.com. { 


16 

86400 

3600 

3600000 

604800 


numer kolejny 
odDwieDanie: 
ponowna próba: 
wygaDniDcie: 
minimum: 


raz dziennie 
co godzinD 
42 dni 
1 tydzieD 



IN 

NS 

vlager.vbrew.com. 

; browar 

i.i 

IN 

PTR 

vlager.vbrew.com. 

2.1 

IN 

PTR 

vstout.vbrew.com. 

3.1 

; winiarnia 

IN 

PTR 

vale.vbrew.com. 

1.2 

IN 

PTR 

vlager-if2.vbrew.com. 

2.2 

IN 

PTR 

vbardolino.vbrew.com. 

3.2 

IN 

PTR 

vchianti.vbrew.com. 

4.2 

IN 

PTR 

vbeauj olais.vbrew.com 
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Wery fikowaniekonfiguracjiserwera nazw 

nslookup jest doskonałym narzędziem do sprawdzania działania twojego serwera 
nazw. Mo żna go uży wać zar ów no in te rak ty w nie z mo ni tern, jak i w for mie po le ce¬ 
nią natychmiast wypisującego wynik. W tym ostat nim przy pad ku po pro stu wy¬ 
wołujesz po le ce nie tak: 

$ nslookup nazwahosta 

nslookup za daje za pyt anie o nazwOhos ta do ser wera nazw okreś lone go w pli ku re- 
soh.conf. (Je żeli w pli ku znaj duje się wię cej niż je den ser wer, nslookup wybiera ja kiś 
losowo). 

Jednaktrybinteraktywnyjestdużociekawszy.Pozaposzukiwaniemposzczególnych 
ho stów, możesz za da wać za py ta nia odo wol ny typ re kor du DNS i prze syłać całe in- 
for ma cje o stre fie dla da nej do me ny. 

Po wywołaniu nslookup bez argumentów, wyświetla on używany serwer nazw 
i prze cho dzi do try bu in ter akty wnego. Po mo nic ie > możesz wpi sać na zwę do meny, 
o którą chcesz py tac. Do myś lnie za daw ane są za pyt ania o kia sę rek ordów A - tych 
za wier ających ad res IP od noszący się do na zwy do meny. 

In nych ty pów re kordów możesz po szu kać następująco: 

> set type=typ 

gdzie typ to jedna z nazw rekordu zasobu opisanych wcześniej lub dyrektywa 
ANY. 

Mo żna sobie wy obraz ić na stęp ującą se sję z pro gram em nslookup: 

$ nslookup 

Default Server: tao.linux.org.au 
Address: 203.41.101.121 

> metalab.unc.edu 

Server: tao.linux.org.au 
Address: 203.41.101.121 
Name: metalab.unc.edu 
Address: 152.2.254.81 

> 

Wy nik naj pierw po kaz uje ser wer DNS, do któ rego są kie row ane za pyt ania, a na- 
stępn ie od pow iedźnazapyt anie. 

Je żeli sp róbujesz za pyt ać o na zwę, z którą nie jest związany ad res IP, ale w ba zie 
DNS znaj dują się inne re kordy, ns/ookwp zwróci komunikat o treści No type A re- 
cords found. (nie zna lez iono rek ord ów typu A). Jed nak możesz za dać za pyt anie 
nie tyl ko o re kordy A - trze ba tyl ko wydać po le ce nie set type. Aby uzys kać re kord 
SOA z do meny unc.edu, mu sisz na pis ać: 

> unc.edu 

Server: tao.linux.org.au 
Address: 203.41.101.121 

*** No address (A) records available for unc.edu 

> set type=S0A 
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Rozdział 6: Usługi na zewnicze ikon figu ro wa nie re solve ra 


> unc.edu 

Server: tao.linux.org.au 
Address: 203.41.101.121 


unc.edu 

origin = ns.unc.edu 
mail addr = host-reg.ns.unc.edu 
serial = 1998111011 
refresh = 14400 (4H) 
retry = 3600 (1H) 
expire = 1209600 (2W) 
minimum ttl = 86400 (ID) 
unc.edu name server = ns2.unc.edu 


unc.edu name server = ncnoc.ncren.net 
unc.edu name server = ns.unc.edu 


ns2.unc.edu 
ncnoc.ncren.net 
ncnoc.ncren.net 
ns.unc.edu 


internet address = 
internet address = 
internet address = 
internet address = 


152.2.253.100 

192.101.21.1 

128.109.193.1 

152.2.21.1 


W po dob ny sp osób możesz za py tac o re kor dy MX: 

> set type=MX 

> unc.edu 

Server: tao.linux.org.au 
Address: 203.41.101.121 


unc.edu preference = 
unc.edu preference = 
unc.edu name server ■ 
unc.edu name server ■ 
unc.edu name server ■ 
conga.oit.unc.edu 
imsety.oit.unc.edu 
ns.unc.edu 
ns2.unc.edu 
ncnoc.ncren.net 
ncnoc.ncren.net 


0, mail exchanger = conga.oit.unc.edu 
10, mail exchanger = imsety.oit.unc.edu 
: ns.unc.edu 
: ns2.unc.edu 
: ncnoc.ncren.net 
internet address 


internet address 
internet address 
internet address 
internet address 
internet address 


152.2.22.21 

152.2.21.99 

152.2.21.1 
152.2.253.100 

192.101.21.1 

128.109.193.1 


Użyć ie typu ANY zwró ci wszyst kie re kordy za sobów związane z daną nazwą. 

In nym prak tycz nym za stoso wa niem nslookup , po za de bu go wa niem, jest uzy ski wa- 
nie ak tu al nej li sty se rwerów nazw do me ny głów nej. W tym ce lu na le ży za dać za py¬ 
ta nie o wszyst kie re kor dy NS związa ne z do meną główną. 

> set type=NS 

> . 

Server: tao.linux.org.au 
Address: 203.41.101.121 


Non-authoritative answer: 

(root) name server = A.ROOT-SERVERS.NET 
(root) name server = H.ROOT-SERVERS.NET 
(root) name server = B.ROOT-SERVERS.NET 
(root) name server = C.ROOT-SERVERS.NET 
(root) name server = D.ROOT-SERVERS.NET 
(root) name server = E.ROOT-SERVERS.NET 
(root) name server = I.ROOT-SERVERS.NET 
(root) name server = F.ROOT-SERVERS.NET 
(root) name server = G.ROOT-SERVERS.NET 
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(root) name server = J.ROOT-SERVERS.NET 
(root) name server = K.ROOT-SERVERS.NET 
(root) name server = L.ROOT-SERVERS.NET 
(root) name server = M.ROOT-SERVERS.NET 


Authoritative answers can be found from: 


A. ROOT-SERVERS.NET 

H. ROOT-SERVERS.NET 

B. ROOT~SERVERS.NET 

C. ROOT-SERVERS.NET 

D. ROOT-SERVERS.NET 

E. ROOT-SERVERS.NET 

I. ROOT~SERVERS.NET 

F. ROOT-SERVERS.NET 

G. ROOT-SERVERS.NET 

J. ROOT-SERVERS.NET 

K. ROOT~SERVERS.NET 

L. ROOT-SERVERS.NET 

M. ROOT-SERVERS.NET 


internet address 
internet address 
internet address 
internet address 
internet address 
internet address 
internet address 
internet address 
internet address 
internet address 
internet address 
internet address 
internet address 


198.41.0.4 

128.63.2.53 

128.9.0.107 

192.33.4.12 
128.8.10.90 
192.203.230.10 
192.36.148.17 
192.5.5.241 
192.112.36.4 
198.41.0.10 
193.0.14.129 

198.32.64.12 
202.12.27.33 


Aby zo bac zyć pełny ze staw do stępn ych po lec eń, użyj w nslookup ko mendy help. 


Inne przydatne narzędzia 

Ist nie je kil ka na rzę dzi, kt óre mogą pomóc w wy pełnia niu obo wiązków ad mi ni stra¬ 
to ra BIND. Pokrótce opi sze my dwa z nich. Wię cej in for ma cji na ten te mat znaj dziesz 
w dołączo nej do nich do ku men ta cji. 

hostcut po ma ga we wstęp nej kon fi gu racji BIND, konwertując plik /etc/hosts na pli ki 
główne dla named. Pro gram ge ne ru je wpi sy nor mai ne (A) i od wrót ne (PTR); obsłu- 
gu je ta kże alia sy. Oczy wiś cie nie zro bi za cie bie wszyst kie go, gdyż mu sisz cho cia ż- 
by do pa so wać war to ści cza sów w re kor dzie SOA, czy do dać re kor dy MX. Ale i tak 
za osz czę dzisz so bie kil ku ta ble tek od bólu głowy, hostcvt jest czę ścią pa kie tu BIND, 
ale w linuk so wych ośrod kach FTP mo żna go zna le źć ta kże w po sta ci sa mo dziel ne go 
programu. 

Po skon fi gu ro wa niu swo je go ser we ra nazw, na pew no bę dziesz chciał spraw dzić je 
go konfigurację. Istnieją dobre narzędzia, które znacznie ułatwiają to zadanie: 
pierw szym z nich ]est dnswalk-pa kiet w języku Perl. Dru gi nazywa się nslint. Oba 
programy przeglądają bazę DNS w poszukiwaniu popularnych błędów i weryfi¬ 
kują, czy znalezioneinformacje są spójne. Dwa inne przydatne narzędzia to: host 
i dig- są to na rzę dzia og óln ego prze zna cze nia do za da wa nia za py tań do ba zy DNS. 
Możesz je wy ko rzy stać do ręcz ne go spraw dza nia i dia gno zo wa nia wpi sów wba zie 
danych DNS. 

Wymienionenarzędziasądostępnewpostacipakietów.dnsicfl/k i nslint są do stęp 
ne w postaci kodu źródłowego pod adresami:http://www.visi.com/~barr/dnswalk/ 
i ftp://ftp.ee.lbl.gov/ns lint. tar. Z. Kody źródłowe na rzę dzi host i dig można znaleźć 
pod ad re sa mi ftp://ftp. nikhef.nl/pub/network/ i ftp://ftp.is.co.za/networking/ip/dns/dig/. 




Pro to koły pa kie to we, ta kie jak IP czy IPX, działają w opar ciu o to, że host od bie rający 
wie, gdzie się za czy na i ko ńczy ka żdy pa kiet w stru mie niu da nych. Me cha nizm uży¬ 
wa ny do za zna cza nia i wy kry wa nia początku i ko ńca pa kietów na zy wa się rozgra ni 
czaniem (ang. delimitation). Za działanie te go me cha ni zmu w sie ciach lo kał nych od po- 
wia da pr ot okół Et her net, na to miast w łączach sze re go wych - pro to koły SLIP i PPP. 

Sto sunk owo mały koszt wol nych mod emów ko mut owa nych i sie ci te lef oni cznych 
spo wod ował, że pro tokoły IP łącza sze reg owe go stały się bar dzo po pul arne, sz cze 
góln ie do za pewn iania łączno ści użytk owni kom ko ńcow ym In tern etu. Sprzęt po¬ 
trzebny do uruc homi enia SLIP czy PPP jest pro sty i łatwo do stępny. Wy stare zy mieć 
mo dem i port sze reg owy z bu for em PIPO. 

Pr oto kół SLIP jest bar dzo pro sty w im plem enta cji i swe go cza su był po pul arni ejszy 
niż PPP. Obecn ie jed nak pra wie ka żdy chęt niej się ga po pro tokół PPP, który udo- 
stęp nia bardziej wy raf ino wane f unk cje. Wa żniej s zy m z nich przyj rżymy się późni ej. 

Li nux obsługuje ste rown iki dla pro tokołów SLIP i PPP oparte na jądrze. Ste rown iki 
te, któ re po wstały ja kiś czas temu, są sta bilne oraz nie zaw odne. W tym i na stępn ym 
roz dziale omó wimy oba pro tokoły i spo sób ich kon fig ura cji. 

Wymagania ogólne 

Aby ko rzy stać z pro to kołu SLIP lub PPP, mu sisz skon fi gu ro wać pod sta wo we funk¬ 
cje sieciowe opisane w poprzednich rozdziałach, a także interfejs pętli zwrotnej 
i resolver. Przy podłączę niu do In ter ne tu bę dziesz chciał ko rzy stać z DN S-u. Mo żli- 
wo ści wy bo ru są tu iden tycz ne jak przy PPP: możesz za da wać za py ta nia DNS, albo 
przez łącze sze re go we, je śli wcześniej skon fi gu rujesz w pli ku /etc/resolv.conf ad res IP 
ser we ra nazw swoje go do staw cy In ter ne tu, albo kon fi gu rując ser wer nazw pa mię ci 
podręcz nej zgod nie z opi sem w roz dzia le 6. 
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Roz dział 7: IP łącza sze reg owe go 


DziałanieSLI P-a 

Serwery IP podłączone do łącza komutowanego często udostępniają usługę SLIP 
przez spe cjal ne kon ta uży tkowników. Po za lo go wa niu się na ta kie kon to, nie do sta¬ 
jesz ty po wej powłoki, tył ko uru cha mia ny jest pro gram lub skrypt powłoki, który 
włącza ste row nik SLIP ser we ra dla łącza sze re go we go i kon fi gu ru je od po wied ni in- 
ter fejs sie cio wy. Na stęp nie mu sisz zro bić to sa mo po swo jej stro nie łącza. 

W nie któ rych sys te mach ope ra cyj nych ste row nik SLIP jest pro gra mem działającym 
w prze strze ni uży t kow ni ka. W Linuksie jest to czę ść jądra, co po wo duje, że działa on 
dużo szyb ciej. Pręd kość ta jed nak wy ma ga, by łącze sze re go we było jaw nie prze 
łączone w tryb SLIP. To przełączenie jest realizowane przez specjalny protokół 
obsługi łącza tty, SLIPDISC. Gdy tty jest w trybie normalnego protokołu obsługi 
(DISCO), wy mie nia da ne tyl ko z pro ce sa mi użyt kow ni ka, uży wając zwykłych wy¬ 
wołań read(2) i write(2), a ste row nik SLIP nie jest w sta nie ani za pi sy wać do tty, ani 
z nie go od czy ty wać. W try bie SLIPDISC ro le się od wra cają: te raz pro ce sy prze strze 
ni użyt kow ni ka są blo ko wa ne przed za pi sy wa niem do tty lub od czy ty wa niem z nie 
go, natomiast wszyst kie da ne przy chodzące na port sze re go wy są prze ka zy wa ne 
bez po śred nio do ste row ni ka SLIP. 

Sam ste rown ik SLIP jest w sta nie pra co wać z wieloma od mianami pro tokołu SLIP. 
Poza zwykłym SLI P-em ro zum ie ta kże CSLIP, kt óry re aliz uje tak zwaną kom pres ję 
nagłówk ów Van Ja cobs ona wy chodzących pa kietów IP (opis aną w RFC-1144). Kom¬ 
pres ja ta znacz nie po praw ia prze pus towo ść łącza pod czas se sji in ter akty wnych. Ist¬ 
nieją ta kże sze ściob ito we wer sje obu tych pro tokołów. 

Pro stym spo sob em na przełączę nie łącza sze reg owe go w tryb SLIP jest użyć ie na- 
rzędzia slattach. Załóżmy, że twój mo dem jest już podlączo ny pod /dev/ttyS3 i po- 
prawn ie za log owałeś się do ser wera SLIP. Te raz mu sisz wy dać po lec enie: 

# slattach /dev/ttyS3 & 

Na rzęd zie to przełączy pr otokół obsługi ttyS3 na SLIPDISC i podłączy urządzę nie 
do jed nego z int erf ejsów sie ciow ych SLIP. Je żeli jest to two je pierw sze ak ty wne łącze 
SLIP, zo stan ie ono podłączo ne do s 10. Dru gie byłoby podłączo ne do sil i tak da lej. 
Aktualne jądra obsługują domyślnie maksymalnie 256 jednocześnie aktywnych 
łączy SLIP. 

Domyślnyprotokółobsługi łącza wybierany przezslattach to CSLIP. Możesz wybrać 
do wolny inny, uży wając przełącznika -p. Aby użyć zwykłego SLI P-a (bez kom pre sji), 
wy daj pole ce nie: 

# slattach -p slip /dev/ttyS3 & 

Do stępne pro tokoły obsługi są wymienione w ta beli 7-1. Masz ta kże do dys poz ycji 
specjalny pseudoprotokół obsługi o nazwie adaptive, który po woduje, że jądro 
au tom aty cznie wy kry wa, jaka en kaps ula cja SLIP jest włączo na po dru giej stro nie. 
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Ta be la7-1. Pro to koty obsługi SLIP w Linuksie 


Protokółobsługi 

Opis 

slip 

Trądy cyjnaenkapsulacjaSLIP. 

cs lip 

En kap su la cja SLIP z kom pre sją nagłówków Van Ja cob so na. 

slipó 

Enkap su la cja SLIP z ko do wa niem 6-b it owym. Me to da ko do wa nia jest 
po dob na do uży wa nej przez po le ce nie uuen codę i po wo duje, że da ta gram 
SLIP jest kon wer to wa ny do dru ko wal nych zna ków ASCII. Kon wer sja 
ta jest przy dat na, je żeli nie masz 8-b it ow ego łącza sze re go we go. 

cslipó 

En kap su la cja SLIP z kom pre sją nagłów ków Van Ja cob sona i ko do wa niem 
6-bitowym. 

adaptive 

Nie jest to ty po wy pro to kół obsługi, ale po wo du je, że jądro pró bu je 
zidentyfikowaćprotokółuży wa ny na od ległej ma szy nie i do pa so wać 
się do nie go. 


Za uważ, że mu sisz uży wać tej sa mej en kap su la cji co twój part ner. Na przykład, je 
żeli host cowslip uży wa CSLIP, ty ta kże mu sisz go uży wać. Gdy by two je połączę nie 
SLIP nie działało, to przede wszyst kim po wi nie neś spraw dzić, czy oba ko ńce łącza 
uwzględ niły uży wa nie kom pre sji nagłów ków. Je żeli nie je steś pe wien, cze go uży wa 
dru gi ko nieć, spró buj skon fi gu ro wać swój host na ad ap tive slip. Być może jądro pre 
widłowo od gad nie typ. 

slattach po zwala ci na włączę nie nie tył ko SLI P-a, ale ta kże in nych pro tokołów wy- 
kor zyst ujących łącze sze reg owe, ta kich jak PPP czy KISS (inny pr otokół używ any 
przez fanów ham ra dio). Mimo to nie jest po wszechn ie sto sow any, gdyż są lep sze 
na rzęd zia do obsługi tych pro tokołów. Szc zegóły znaj dziesz na stro nie podręcz nika 
elekt roni cznegos lattach(8). 

Po przełączę niu łącza na ste rown ik SLIP, mu sisz skon fig uro wać in terf ejs sie ciowy. 
Znów, robisz to za pomocą standardowych poleceń ifconfig i route. Załóżmy, że 
połączy liśmy się te lef oni cznie z ho sta vlager do ser wera o na zwie cowslip. Na ho- 
ście vlager powinieneś na pisać: 

# ifconfig slO vlager-slip pointopoint cowslip 

# route add cowslip 

# route add default gw cowslip 

Pierwsze poleceniekonfiguruje in terf ejs jako łącze punkt-punkt do cowslip, a na¬ 
stępne dwa polecenia dodają trasę do cowslip i trasę domyślną wykorzystującą 
cowslip jako ga tew ay. 

War to zwr ócić uwagę na dwie rze czy w wywołaniu ifconfig: opcję pointopoint 
określającą adres drugiego końca łącza punkt-punkt i wykorzystanie vlager-slip 
jako ad resu lo kaln ego interfejsu SLIP. 

Wspo mnie liś my, że dla łącza SLIP możesz użyć te go sa me go ad re su, któ ry przy pi¬ 
sałeś in ter fej so wi Et her net na ho ście vlager . W tym przy pad ku vlager-slip mógłby 
być po pro stu alia sem ad re su 172.16.1.1. Jed nak mo żli we jest rów nież uży cie zu¬ 
pełnie in ne go ad re su dla łącza SLIP. Jedną z ta kich sy tu acji jest sieć uży wająca nie 
za re je stro wa ne go ad re su IP sie ci, tak jak się to dzie je w na szym wir tu al nym bro wa- 






116 


Roz dział 7: IP łącza sze reg owe go 


rze. Powrócimy do tej sytuacji i opiszemy ją bardziej szczegółowo w następnym 
podrozdziale. 

W po zos tałej czę ści tego roz działu zaw sze będzie my uży w aćvlager-slip , odwołując 
się do ad resu lo kaln ego in terf ejsu SLIP. 

Przy wyłącza niu łącza SLIP po win ieneś naj pierw usunąć wszyst kie tra sy wiodące 
przez cowslip za po mocą po lec enia rou te z opcją del, a na stępn ie za mknąć in terf ejs 
i wysłać pro gram owi slattach sy gnał za wieś zenia. Na stępn ie mu sisz rozłączyć mo¬ 
dem, uży w ając po nown ie pro gramu swo jego ter min ala: 

# route del default 

# route del cowslip 

# ifconfig slO down 

# kill -HUP 516 

Pa mię taj, aby 516za stąpić nu me rem ID pro ce su (po ka zy wa nym w wy ni ku dzia łania 
ps ax) pole cenias lattach kon tro lujące go urządzę nie slip, które chcesz za mknąć. 

Ko rzystaniezsieci prywatnych 

Pew nie pa mięt asz z roz działu 5, Konfigurowanie sieciTCP/IP , że browar wirtualny 
ma sieć IP wykorzystującąniezarejestrowanenumerysiecizastrzeżonedoużytku 
we wn ętrzne go. Pa kiety kie row ane z lub do tych sie ci nie są ru tow ane do In tern etu. 
Gdy by vlager łączył się z cowslip i działał jako ru ter dla sie ci bro waru wir tua lne go, 
ho sty w sie ci bro waru nie mogłyby się bez poś rednio ko mun iko wać z praw dziw ymi 
ho stami z In tern etu, po niew aż ich pa kiety byłyby po ci chu od rzuć ane przez pierw- 
szypoważ niej szy ru ter. 

Aby roz wiązać ten pro blem, skon fi gu ru je my vlager tak, aby działał ja ko swe go ro dza- 
ju prze ka źnik udo stęp niający usługi in ter ne to we. W świe cie ze w nętrz nym bę dzie się 
on przed sta wiał ja ko nor mai ny host podłączo ny do In ter ne tu za po śred nictwem pro to- 
kołu SLIP, z za re je stro wa nym ad re sem IP (praw do po dob nie przy pi sa nym przez do¬ 
staw cę usług, do któ re go na le ży cowslip). Ka żdy, kto za lo gu je się do vlagera, może 
uży wać pro gra mów działających w try bie tek sto wym, ta kich jak ftp, telnet czy na wet 
lynx , i za ich po mo cą ko rzy stać z In ter ne tu. Ka żdy, kto na le ży do sie ci lo kal nej bro wa¬ 
ru wir tu al ne go, może za tern wy wołać telnet i zalogować się do vlagera, a na stęp nie 
uży wać na nim pro gra mów. Dla nie któ rych apli ka cji mogą ist nieć roz wiąza nia, któ re 
nie wy ma gają lo go wa nia się do vlagera. Na przykład w przy pad ku użyt kow ni ków 
WWW mo gli by śmy nahościevlagerurucho mić tak z wa ny ser wer proxy, któ ry prze ka- 
zy wałby wszyst kie żąda nia od uży t kow ni ków do od po wied nich ser we rów. 

Wymóg za lo go wa nia się do vl agera ce lem ko rzy sta nia z In ter ne tu jest nie co nie wy¬ 
godny. Ale ma też swo je za le ty. Po pierw sze, eli mi nu je ko niecz ność re je stro wa nia 
się w sie ci IP, co wy ma ga wy pełnia nia pap ierów i jest kosz tow ne, a po dru gie da je 
dodatkowe korzyści przy konfigurowaniu firewalla.Firewallesądedykowanymi 
ho sta mi, kt óre dając ogra ni czo ny do stęp do In ter ne tu użytków ni kom twojej sie ci lo¬ 
kal nej, ró wno cześnie za bez pie czają two je we w nętrz ne ho sty przed ata ka mi ze świa¬ 
ta zew nętrz ne go. Pro sta kon fi gu ra cja fi re wal la zo stała sz czegóło wo opisanawroz- 
dziale 9, FireivallTCP/IP. W roz dzia le 11, Masko wanielPitranslacjaadres ów sieciowych, 
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oma wia my funk cję Linuk sa zwa ną ma sko wa niem IP, któ re może być do sko nałą al- 
ter na ty wą dla serwerów proxy. 

Załóżmy, że bro war ma przy pis any ad res IP 192.168.5.74 dla do stępu przez SLIP. 
Aby uzys kac omów ioną po wyż ej kon fig ura cję, mu sisz je dyn ie wpro wad zić ten ad¬ 
res do pli ku /etc/hosts z nazwą vlager-slip. Pro ced ura włączę nia in terf ejsu SLIP po- 
zos taje bez zmian. 

Korzystanie z polecenia dip 

Do tychc zas opis ane czyn noś ci nie były trud ne. Nie mniej jed nak za pewne wolałbyś 
je zautomatyzować. Dużo lepiej byłoby mieć proste polecenie, które realizuje 
wszystkie wymienione kroki niezbędne do otworzenia urządzenia szeregowego, 
zadzwonienia do dostawcy, zalogowania się, włączenia protokołu obsługi SLIP 
i skon f i gu ro wa nia in terf ejsu sie cio we go. Takim po le ce niem jest dip. 

Na zwa dip to sk rót od an giels kiego ter minu dia lup IP (IP łącza ko mut owa nego). Po¬ 
lec enie to zo stało na pis ane przez Fre da van Kem pena i roz win ięte do syć znacz nie 
przez wie le osób. Obec nie pra wie wszy scy uży wają wer sjidip337p-uri,którajest 
dołącza na do wię ks zości współcze snych dys tryb ucji Linuk sa, a ta kże jest do stępna 
w ar chiw um FTP metalab.unc.edu. 

dip udo stęp nia in ter pre ter pro ste go ję zy ka skryp to we go, który może obsłużyć mo¬ 
dem, zmienić tryb SLIP i skonfigurować interfejsy. Język skryptowy jest wystar¬ 
czająco sil ny, by spro stać wię k szo ści kon fi gu ra cji. 

Aby skonfigurować interfejs SLIP, dippotrzebujeprzywilejówużytkownikaroot. 
Może cię ku sić, aby na dać pro gra mówi dip pra wosetu idroot, tak by wszy scy użyt- 
ko w ni cy (bez ko niecz no ści po sia da nia upraw nień ro ota) mo gli dzwo nić do ser we ra 
SLIP. Jest to bardzo niebezpieczne, ponieważ ustawienie fałszywych interfejsów 
ido my śl nych tras za po mocą po le ce nia dip może uszko dzić ru ting w two jej sie ci. Co 
gor sza, da to two im użyt kow ni kom mo żli wość podłączę nia się do dowolnego ser we 
ra SLIP i wy ko ny wa nia z two jej sie ci nie bez piecz nych ata ków. Je śli chcesz po zwo lić 
użyt kow ni kom na uru cha mia nie połączę nia SLIP, na pisz małe pro gra my do dat ko- 
we dla każdego potencjalnego serwera SLIP i z nich wywołuj dip ze specjalnym 
skryptemnawiązującympołączenie.Poprawnienapisanemuprogramowitegotypu 
można bezpiecznie nadać prawo setuidroot*. Alternatywnym, bardziej elastycz¬ 
nym po de jś ciem jest nada nie za ufa nym użytków ni kom upraw nień ro ota do dip po¬ 
przez pro gram ty pu sudo. 

Przykład owy skrypt 

Załóżmy, że host, z którym łączysz się przez SLIP, to cowslip. Na pisaliśmy skrypt 
dla dipa - cowslip.dip - który re aliz uje na sze połączę nie. Wywołujemy dip z nazwą 
skryp tu jako ar gum entem: 


diplogin też musi być uru cha mia ny z pra wem se tu id root, jak do wiesz się jesz cze z tego roz działu. 
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# dip cowslip.dip 

DIP: Dialup IP Protocol Driver version 3.3.7 (12/13/93) 
Written by Fred N. van Kempen, MicroWalt Corporation, 
connected to cowslip.moo.com with addr 192.168.5.74 

# 

Sam skrypt po kaz ano w przykładzie 7-1. 


Przykład 7-1: Przykład o wy skrypt dip 

# Przykśadowy skrypt dip dzwoniścy do cowslip 

# Ustawienie lokalnych i zdalnych nazw i adresów 

get $local vlager-slip 
get $remote cowslip 

port ttyS3 # wybór portu szeregowego 

speed 38400 # ustawienie prśdkości na maksimum 

modem HAYES # ustawienie typu modemu 

reset # wyzerowanie modemu i tty 

flush # wyczyszczenie bufora modemu 

# Przygotowanie do dzwonienia 

send ATQOVlElXl\r 
wait OK 2 

if $errlvl !=0 goto error 
dial 41988 

if $errlvl !=0 goto error 
wait CONNECT 60 
if $errlvl !=0 goto error 

# Ok, jesteśmy podśśczeni 

sleep 3 

send \r\n\r\n 

wait ogin: 10 

if $errlvl !=0 goto error 

send $vlager\n 

wait ssword: 5 

if $errlvl !=0 goto error 

send knockknock\n 

wait running 30 

if $errlvl !=0 goto error 

# Zalogowaliśmy siś i po drugiej stronie uruchamiany jest SLIP. 

print Connected to $remote with address $rmtip 

default # Ustawienie rutingu domyślnego na to śścze 

modę SLIP # Przechodzimy takśe do trybu SLIP 

# tu trafiamy w razie wystśpienia bśśdu 
error: 

print SLIP to $remote failed. 


Po podłączę niu do cowslip i włączę niu SLIP, dip odłącza się od ter mi na la i prze cho¬ 
dzi do pra cy w tle. Możesz zacząć uru cha miąć nor mai ne usługi sie cio we na łączu 
SLIP. Aby zakończyć połączenie, po prostu wywoła] dip z opcją -k, co spowoduje 
wysłanie sy gnału do dip. Wy ko rzy sta ne zo sta nie do te go ID pro ce su, któ re dip za pi su- 
je w pliku /etc/dip.pid. 

# dip -k 

W ję zy ku skry p to wy m po le ce nia dip słowa klu czo we poprzedzonezna kiem do la ra 
ozna czają na zwy zmiennych, dip po siada pre de fi niowa nyzestawzmiennych, które 
zo staną omó wio ne po niż ej. Na przykład $ remote i $ 1 ocal za wie rają od po wied- 
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nio nazwy hostów lokalnego i zdalnego, znajdujących się po obu stronach łącza 
SLIP. 

Pierw sze dwie dy rek ty wy w przykład o wym skryp cie to po le ce nia get, za po mocą 
kt órych dip de fi niu je zmień ne. Na zwy ho stów lo kal ne go i zdał ne go są tu usta wia- 
ne od po wied nio na vlager i cowslip. 

Na stęp ne pięć dy rek ty w kon fi gu ruje ter mi nal i mo dem. r e s e t wy syła domodemu 
ciąg ze rujący. Ko lej na dy rek ty wa czy ści bu for mo de mu tak, aby dia log lo go wa nia 
umiesz czo ny w ko lej nych kil ku wier szach za działał po praw nie. Dia log ten jest do¬ 
syć pro sty: po pro stu dzwo ni pod nu mer 41988 (nu mer te le fo nu cowslip) i lo gu je się 
na konto $vlager za po mocą hasła knoć kkno c k. Po lecenie wait po woduje, że dip 
cze ka na ciąg znaków poda ny ja ko pierw szy ar gu ment. Licz ba poda na ja ko dru gi ar gu- 
ment określa, po ilu se kun dach ko ńczy się ocze ki wa nie, je żeli dany ciąg nie zo sta nie 
ode bra ny. Po le ce nia i f wy stę pujące w pro ce du rze lo go wa nia spraw dzają, czy nie 
wystąpił błąd w wy ko ny wa ny m po le ce niu. 

Ostatn ie po lec enia wywoły wane po za log owa niu się to: de f au 11, ustaw iające do- 
myś lny ru ting na ze staw ione właśnie łącze SLIP, i modę, włączające tryb SLIP na 
łączu i kon fig urujące in terf ejs oraz ta blicę ru tingu. 

dip 

W tym pod roz dzia le po da my opis wię k szo ści po le ceńdip. Li stę wszyst kich po le ceń 
możesz zobaczyć, wywołującdfp w trybie testowym i wprowadzając help. Aby 
poznać skład nię po le ce nia, możesz je wpro wa dzić bez żad nych arg umentów. Pa mię- 
taj, że nie spraw dzisz tak skład ni tych po le ceń, kt óre nie po trze bują ar gumę ntów. 
Po niż szy przykład ilu stru jepoleceniehelp: 

# dip -t 

DIP: Dialup IP Protocol Driver version 3.3.7p-uri (25 Dec 96) 

Written by Fred N. van Kempen, MicroWalt Corporation. 

Debian version 3.3.7p-2 (debian). 

DIP> help 

DIP knows about the following commands: 


beep 

bootp 

break 

chatkey 

config 

databits 

dec 

default 

dial 

echo 

f lush 

get 

goto 

help 

if 

inc 

init 

modę 

modem 

netmask 

onexit 

parity 

password 

proxyarp 

print 

psend 

port 

quit 

reset 

secureidfixed 

securid 

send 

Shell 

skey 

sleep 

speed 

stopbits 

term 

timeout 

wait 


DIP> echo 

Usage: echo on|off 
DIP> 

W kolejnych podrozdziałach przykłady zawierające monit DIP> pokazują, jak 
wpro wad zać po lec enia w try bie te stów ym i jaki dają one wy nik. Przykłady bez tego 
mo ni tu na leży trak tow ać jako f rag menty skry ptów. 
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Poleceniadotyczącemodemu 

dip udo stęp nia sze reg po le ceń kon fi gu rujących łącze sze re go we i mo dem. Ni ektóre 
z nich są oczy wi ste, np. port, służący do wy boru por tu szeregowe go, czy speed, 
databits, stopbits i parity,usta wiające ty po we para metry łącza. Po lecenie 
mo dem wy bie ra typ mo de mu. Ak tu al nie je dy nym obsługi wa ny m try bem jest HAYE S 
(wy magane pisanie duży mili te rami). Musiszokreślićprogramo wid ip typ modę mu, 
gdyż w przeciw nym razie nie będzie możliwe wy ko na nie pole ceń dial i reset. 
Polecenie reset wy syła ciąg znaków ze rujący mo dem. Sto so wa ny ciąg za le ży od 
wybranegotypu modemu. W przypadku modę mów kompatybilnych ze standar¬ 
dem Hay esa, ciągiem tym jest AT z. 

Po le ce nie flushmożebyć wy korzystanedousunięciazbufora wszyst kich od po¬ 
wie dzi wysłanych przez mo dem do tej po ry. W prze ciw nym ra zie skrypt dia lo go wy 
wy stę pujący po po le ce niu reset mógłby zgłupieć, po nie waż od czy tałby od po wie 
dzi OK z po przed nich po le ceń. 

Pole ce nie i n i t okre śla ciąg ini cja cyj ny prze ka zy wa ny do mo de mu przed roz po czę- 
ciem dzwonienia. Domyślny ciąg dlamodemów Hay esa to ATEO Q0 VI XI, włącza 
on wy pi sy wa nie po le ceń i dzwo nie nie na śle po (bez spraw dza nia sy gnału na li nii). 
Nowsze modemy posiadają dobrą konfigurację fabryczną, a więc jest to zbędne, 
choć w ni czym nie prze szka dza. 

Po lec enie dial wysyła ciąg inic jacy jny do mo demu i dzwo ni do zdał nego sys temu. 
Do myś lne po lec enie dzwo nien ia dla modę mów Hay esa to AT D. 

Polecenieecho 

Polecenie echo jest doskonałą po mocą przy de bu go wa niu. Wy wołanie echo on po¬ 
woduje, że dip po wta rza na konso li wszyst ko, co wy syła do urządzę nia sze re go we go. 
Można to z powrotem wyłączyć, wy dając po lecenie echo of f. 
dip po zwala ta kże na chwi lę wy jść z try bu skryp tow ego i we jść do try bu ter min alo- 
wego. W tym try bie używ asz dip tak jak zwykłego pro gramu ter min ala, wysyłając 
wpi syw ane zna ki na łącze sze reg owe, od czyt ująć dane z łącza sze reg owe go i wy- 
świet łając zna ki. Aby wy jść z tego try bu, na ciśn ij [CTRL+]]. 

Polecenieget 

Za po mocą po le ce nia ge t dip na da je war tość zmień nej. Naj prost sze jest przy pi sa nie 
zmień nej stałej war to ści, co ro bi liś my w skryp cie cowslip.dip. Możesz jed nak po pro sić 
użytków ni ka o wpro wa dze nie cze goś, uży wając słowa klu czo we goaskzamiast war¬ 
tości: 

DIP> get $local ask 

Enter the value for $local: _ 

Trzecia metoda to uzyska nie war to ści ze zdał nego ho sta. W pierwszej chwi li wy¬ 
gląda to dzi wacz nie, ale nie raz się bar dzo przy da je. Nie któ re ser we ry SLIP nie po¬ 
zwolą ci uży wać własne go ad re su IP na łączu SLIP, a po połączę niu będą przy pi sy- 
wać ci ad res z pu li, wy pi sując ko mu ni kat in for mujący o o trzy ma nym ad re sie.Je żeli 



Ko rzys taniezpolecenia dip 


121 


otrzymaszkomunikat:„Your address : 192.168.5. 7 4, po niż szy frag ment ko¬ 
du dip po zwo li ci przy pi sać ten ad res: 

# zakodczenie logowania siQ 
wait address: 10 
get $locip remote 

Polecenieprint 

Jest to po lecenie używane do wyświetlania tekstów dip na konsoli, z której został 
uruchomiony. W poleceniu print mogą być użyte wszystkie zmienne dip. Oto 
przykład: 

DIP> print Using port $port at speed $speed 

Using port ttyS3 at speed 38400 

Nazwyzmiennych 

dip rozumie tylko predefiniowanyzestaw zmiennych. Nazwy zmiennych zawsze 
za czy nają się od zna ku do la ra i muszą być pi sa ne małymi li te ra mi. 

Zmień ne$local i$locipza wier ają na zwę i ad res lo kaln ego ho sta.Je żeli w zmien¬ 
nej $ 1 o c a 1 za pis zesz ka non iczną na zwę ho sta, dip bę dzie au tom a ty cznie pr óbo wał 
za mień ić na zwę ho sta na jego ad res IP i za pis ać go w zmień nej $locip.Po dobny, 
aczkolwiekod wrotnyproceszachodzi,gdyprzypiszeszadresIPzmiennej $ 1 ocip: 
dip będzie próbował wy szukiwania odwrotnego, czy libędziech ciał zidentyfikować 
na zwę ho sta i za pis ać ją w zmień nej $ 1 o c a 1. 

Zmienne $ remote i $rmtip działają w ten sam sp osób dla ad resu i na zwy ho sta 
zdał nego. $mtu za wiera war tość MTU dla połączę nia. 

Te pięć zmiennych to jedyne zmienne, którym wartości mogą być przypisywane 
bez po śred nio za po mocą po le ce nia get. Sze reg in nych zmień nych jest usta wia nych 
w wy ni ku działania po le ceń kon fi gu ra cyj nych o tej sa mej na zwie, a mogą one być 
uży wanewdyrekty wieprint. Na leżą do nich $modem, $port i $speed. 

$errlvljest zmienną, przez którą uzy sku jesz wy nik wy ko na nia ostat nie go po le ce 
nia. Po ziom błędu 0 ozna cza po pra w ne wy ko na nie, na to miast war to ści róż ne od ze ra 
ozna czają błąd. 

Po le ce nia if i goto 

Polecenie i f to tradycyjne rozgałęzienie warunkowe, a nie w pełni wyposażona 
pro gram istycznadyrektywai/. Skład nia jest na stępująca: 

if zm op liczba goto etykieta 

Wy raż enie musi być pro stym por ównaniem jed nej ze zmień nych: $ er r lvl, $ lo- 
cip lub $rmtip. zm musi być liczbą całkowitą, operator op może być jednym ze 
zna ków ==, !=, <, >, <= i >=. 

Po lec enieg o t o po wod uje, że wy kon y wa nie skryp tu jest kon tyn uow ane od wier sza, 
który na stęp uje po etykiecie. Etyk ieta musi być pierw szym słowem w wier szu 
i mu si być za koń czona dwu kropk iem. 
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send, wait i sle ep 

Tępo lec enia po mag ają za imp leme ntow ać pro ste skryp ty dia log owe w dip. Po lec enie 
send wysyła ar gum enty do łącza sze reg owe go. Nie obsługuje zmień nych, ale ro¬ 
zum ie wszel kie se kwenc je ze zna kami ukoś nika od wrotn ego zna ne z ję zyka C, ta kie 
jak \n oznac zające nowy wiersz i \b oznac zające cofnięcie. Znak tył dy(~) może być 
za stos owa ny jako sk rót ciągu zn aków: po wrót ka retki/nowy wiersz. 

Pole ce nie wa i t ja ko ar gu ment przyj mu je słowo i od czy tu je wszyst kie da ne we jś cio- 
we na łączu sze re go wym, aż wy kryje ciąg zna ków pa sujący do za da ne go słowa. Sa¬ 
mo słowo nie może za wie rac spa cji. Opcjo nal nie, ja ko dru gi ar gu ment, możesz po¬ 
dać w po le ce niu wait war tość cza su ocze ki wa nia. Je żeli ocze ki wa ne słowo nie zo- 
stanieodebranew tym cza sie, po le ce nie z wró ci w zmień nej $ e r r 1 v 1 war tość 1. Po¬ 
le ce nie to jest uży wa ne do wy kry wa nia mo ni tu lo go wa nia i in nych. 

Polecenie s leep może być używ ane do od czek ania pew nego cza su. Na przykład, 
aby cierpliwie zaczekać na zakończeniesekwencji logowania. Znów czas jest po- 
daw any w se kund ach. 

modeidefault 

Te po le ce nia są uży wa ne do przełącza nia łącza sze re go we go w tryb SLIP i kon fi gu ro- 
wa nia in ter f ej su. 

Po lec eniemo de jest ostatn im po lec eni em wy kon y wa nym przez dip przed prze jśc iem 
w tryb de mona. Do póki nie wystąpi błąd, po lec enie nie ko ńczy się. 

modę przyjmuje jako argument nazwę protokołu. Obecnie dip rozpoznaje SLIP, 
CSLIP, SLIP6, CSLIP6, PPP iTERM.Jednakaktualnawersjadipnierozumietrybu 
adaptiveSLIP. 

Po przełączę niu łącza sze reg owe go do try bu SLIP, dip wywołuje po lec enie ifconfig 
w ce lu skon fig uro wan ia in terf ejsu jako łącza punkt-punkt i po lec enie route do skon- 
fig uro wan ia ru tingu do zdał nego ho sta. 

Je żeli skrypt do datk owo wy woła po lec enie de f au 11 przed po lec eni em mo de, dip 
two rzy do myś lny ru ting wska żujący na łącze SLIP. 

Działanie w trybie serwera 

Skon fig uro wan ie klien ta SLIPbyło trud niejs zym za dan iem. Skon fig uro wan ie two¬ 
jego ho sta, aby działał jako ser wer SLIP jest dużo łatwiejs ze. 

Istnieją dwa sposoby skonfigurowania serwera SLIP. Oba wymagają utworzenia 
jednego konta logowania dla każdego klienta SLIP. Załóżmy, że udostępniasz 
usługę SLIP Ar thur owi Den towi z dent.beta.com . Do dając po niżs zy wiersz do two¬ 
jego pli ku passwd, możesz stwo rzyć kon to o na zwie dent: 
dent501:60:Konto SLIP Arthura Denta:/tmp:/usr/sbin/diplogin 
Na stępn ie za po mocą po lec enia passwd mu sisz ustaw ić hasło użytk owni ka dent. 

Polecenie dip może być uru cho mio ne w try bie ser we ra przez wy wołanie diplogin. 
Zwykle diplogin jest do wiąza niem do dtp. Je go głównym plikiem konfiguracyjnym 
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jest / etc/diphosts , w któ rym zwy kle wpi su jesz ad res IP przy pi sy wa ny użyt kow ni ko- 
wi, gdy za dzwo ni. Al ter na ty w nie możesz ta kże użyć po le ce nia sliplogin, na rzę dzia 
po chodzące go z BSD i po sia dające go bar dziej ela stycz ny sche mat kon fi gu ra cji po¬ 
zwalający ci na wywoływanie skryptów powłoki, gdy host się podłącza lub roz¬ 
łącza. 

Gdy nasz użytk ownik SLI P-a, dent, za log uje się, dip jest uruc hami any jako ser wer. 
Aby stwier dzić, czy dany użytk ownik na prawdę ma pra wo używ ać SLI P-a, szu ka 
on na zwy użytk owni ka w pli ku / etc/diphosts. Plik ten za wiera sz czegółowe pra wa 
do stępu i pa ram etry połączę nia dla ka żd ego użytk owni ka SLI P-a. Ogó lny for mat 
wpi su w /etc/diphosts]est na stęp ujący: 

# /etc/diphosts 

lijytkownik :hasDo: adres-zdalny: adres-lokalny:maska: komentarze :protokćD,MTU 

# 

Ka żde z pól jest opis ane w ta beli 7-2. 

Ta be la 7-2. Opis pól pli ku /etc/di phosts 


Pole 

Opis 

udytkownik 

Pole to okre śla na zwę użyt kow ni ka wywołującego dip. 

HasUo 

Dru gie pole pli ku /etc/diphosts jest uży wa ne do za pew nie nia do dat ko- 
wej war stwy bez pie cze ństwa przy łącze niu się na pod sta wie hasła. 
Możesz tu umie ścić hasło w za szy fro wa nej po sta ci (tak jak w pli ku 
/etc/passwd), a diplogin po pro si użyt kow ni ka o wpro wa dze nie hasła, za¬ 
nim pozwo li mu na do stęp SLIP. Za uważ, że jest to hasło uzu pełniające, 
uży wa ne obok zwykłego hasła wpro wa dza ne go w mo ni cie login. 

adres-zdalny 

Ad res, któ ry zo sta nie przy pi sa ny zdał nej ma szy nie. Ad res ten może 
być podany ta kże w po sta ci na zwy ho sta, któ ra zo sta nie za mie nio na na 
nu mer IP, albo bez po śred nio w po sta ci nu me ru IP w no ta cji krop ko- 
wej. 

Ad res IP, któ ry bę dzie uży wa ny dla lo kal ne go ko ńca połączę nia SLIP. 
Może być poda ny w po sta ci na zwy ho sta lub nu me ru IP. 

adres-lokalny 

maska 

Ma ska sie ci, któ ra bę dzie uży wa na do ru tin gu. Wie le osób źle in ter pre tu¬ 
je to pole. Ma ska sie ci nie do ty czy sa me go łącza SLIP, ale jest uży wa na 
w połączę niu z adres em- z dalnym do utwo rze nia tra sy do zdał nej sie¬ 
ci. Ma ska sie ci po win na być taka sama jak ma ska uży wa na przez sieć 
obsługi waną przez zdał ne go ho sta. 

komentarze 

Jest to pole tek sto we, w któ rym mo żna wpro wa dzić do wol ny opis i jest 
ono trak to wa ne jako po moc w do ku men to wa niu pli ku /etc/diphosts. 

Pole to nie ma in nych za sto so wań. 

protokóD 

W tym polu okre śla się, ja kie go pro to kołu obsługi chcesz uży wać dla 
danego połączę nia. Po praw ne wpi sy są iden tycz ne z uży wa ny mi z ar- 
gu men tern -p po le ce m&slattach. 

MTU 

Mak sy mai na jed nost ka trans mi sji, którą mo żna przesłać przez łącze. To 
pole opi su je naj wię k szy da ta gram prze syłany przez łącze. Ka żdy da ta- 
gram ru to wa ny przez urządzę nie SLIP, któ ry jest wię k szy niż MTU, 
zo sta nie po dzie lo ny na da ta gra my nie wię k sze niż ta war tość. MTU 
zwy kle jest kon fi gu ro wa ne tak samo na obu ko ńcach łącza. 
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Roz dział 7: IP łącza sze reg owe go 


Przykładowy wpis dla dent mógłby wyglądać tak: 

dent::dent.beta.com:vbrew.com:255.255.255.0:Arthur Dent:CSLIP,296 

Ten przykład daje naszemu użytkownikowi dent dostęp do SLIP-a bez potrzeby 
wprowadzania dodatkowego hasła. Będzie mu przypisany adres IP związany 
z nazwą dent.beta.comi maska sieci 255.255.255.0. Domyślnyrutingpowinienbyć 
prze kierowa ny na ad resIPvbrew.com. Połączę niebę dziewy korzy stywałoproto kół 
CSLIP z MTU rów nym 296 baj tów. 

Gdy dent się zaloguj e,diplogin odczyta informacjenajegotematzplikudiplzosfs. 
Gdyby drugie pole zawierało wartość, diplogin poprosiłby o dodatkowe hasło. 
Wpro wa dzo ny przez użyt kow ni ka ciąg zna ków zo stałby za szy fro wa ny i po rów na- 
ny z hasłem z pli kudiphosts .Gdyby ciągi się nie zga dzały, pró ba za lo go wa nia nie po¬ 
wiodłaby się. Gdyby po le hasła za wie rało ciąg zna ków s / ke y, a dipbylby skom pi Io¬ 
wa ny z obsługą S/Key, uru cho mio ne byłoby uwie rzy teł nia nie S/Key. Jest ono opi- 
sa ne w do ku men ta cji za war tej w pa kie cie źródłowymdip. 

Po po praw nym za logowaniu się, diplogin przełącza łącze sze re go we w tryb CSLIP 
lub SLIPi kon fi gu ruje in ter fejs oraz ru ting. Połączę nie po zo sta je ze sta wio ne, do póki 
użyt kow nik go nie rozłączy i mo dem nie zo sta nie odłączo ny od li nii te le fo nicz nej. 
diplogin przy wra ca łącze sze re go we do nor mai ne go pro to kołu obsługi i ko ńczy pracę. 

diplogin wymagaprawużytkownikauprzywilejowanego. Jeżeli dip nie działa z pra¬ 
wem setuid root, po win ieneś spowodować, żeby diplogin był od dzielną kopią dip, 
a nie dowiąza niem. diplogin może wte dy mieć na dane pra wo se tuid bez zmia ny sta¬ 
tusu sa mego dip. 




Podobnie jak SLIP, protokół PPP jest używany do wysyłania datagramów przez 
łącze sze re go we, jed nak nie ma on wie lu wad SLI P-a. Po pierw sze, po zwa la na prze 
sy łanie wię k szej licz by pro to kołów i nie jest ogra ni czo ny do pro to kołu IP. Ma mo żli- 
wość wy kry wa nia błęd ów na sa mym łączu, gdzie SLIP ak cep to wał i prze ka zy wał 
uszko dzo ne da ta gra my, chy ba że uszko dzo ny zo stał nagłówek. Po nad to, po zwa la 
stro nom połączę nia ne go cjo wać na początku opcje, ta kie jak ad res IP i mak sy mai ny 
rozmiardatagramu,orazzapewniauwierzytelnianieklienta.Taka wbu do wa na mo 
żliwość negocjacji pozwala na niezawodną automatyzację przy zestawianiu 
połączę nia, na to miast dzię ki uwie rzy teł nia niu nie są po trzeb ne sztucz ne kon ta uży t 
kowników,którebyłystosowanewprzypadkuSLIP-a. Ka żda z tych mo żli wo ści jest 
w PPP obsługi wa na przez od dziel ny pro to kół. W tym roz dzia le krót ko omó wi my 
pod sta wo we mo duły PPP. Ni niej szy opis PPP jest da le ki od kom piet no ści, a więc je 
żeli chcesz wie dzieć wię cej, za chę ca my cię do prze czy ta nia spe cy fi ka cji pro to kołu 
w od po wied nim do ku men cie RFC i sze re gu uzu pełniających RFC. Ist nie je rów nież 
cała książka po świę co na te mu te ma to wi: Using&Ma naging PPP na pi sa na przez An- 
drew Su na (0'Reilly). 

Na sa mym do le PPP znaj du je się pro to kół wysokopoziomowegosterowaniałączem 
danych ( High-LevelDa taLinkCon fro/-HDLC),którydefiniujegranicepojedynczych 
ra mek PPP i za pew nia 16- bitową su mę kon tro Iną*. W prze ci wie ństwie dość pry mi¬ 
ty wnej en kap su la cji SLIP, ram ka PPP może za wie rać pa kie ty róż nych pro to kołów, 
nie tył ko IP, czy li na przykład IPX Novel la czy Ap ple Talk. PPP do da je bo wiem do 
pod sta wo wej ram ki HDLC po le pro to kołu iden ty fi kujące typ pa kie tu prze syłane go 
wramce. 

Nad HDLC znaj duje się protokół sterowaniałączem (LinkCon troi Pro to col - LCP) ne go- 
cjujący opcje do tyczące łącza da nych, na przykład maksymalnąjednostkęodbioru ( Ma- 
ximumRecewe Unit - MRU) wy zna czającą mak sy mai ny roz miar da ta gra mu, ja ki jed¬ 
na stro na łącza zgo dziła się od bie rać. 


W rze czy wi sto ści, HDLC jest pro to kołem ogó ln ego prze zna cze nia stwo rzo nym przez mię dzy na ro 
dową or ga ni za cję stan da ry za cyjną ISO; jest on ró wn ież istot nym skład ni kiem spe cy fka cji X.25. 
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Roz dział 8: Pro to kół punkt-punkt 


WażnymkrokiemnaprzódwkonfiguracjiłączaPPPjestautoryzacja(uwierzytelnie 
nia) klien ta. Choć nie jest ona obo wiązko wa, po win na być uży wa na w przy pad ku li¬ 
nii ko mu to wa nych, aby nie do pu ścić in tru zów do sys te mu. Za zwy czaj wy woływa- 
ny host (ser wer) pro si klien ta o poda nie taj ne go klu cza. Je żeli host wy wołujący nie 
wygeneruje odpowiedniego klucza, połączenie jest zrywane. W PPP autoryzacja 
działa w obie stro ny. Host wy wołujący może rów nież po pro sić o au to ry za cję ser we 
ra. Te pro ce du ry są zu pełnie nie za le żne od sie bie. Dla dwóch róż nych spo so bów au¬ 
to ryza cjiistnieją dwa pro to koły, któ re będzie my dokład niej oma wia li w tym roz- 
dz\a\e\protokółuwierzytelnianiahasłem (PasswordAuthenticationProtocol - PAP) i pro- 
tokółuwierzytelnieniaprzezuzgodnienie (Challenge HandshakeAuthenticationProtocol — 
CHAP). 

Ka żdy pro to kół sie cio wy ru to wa ny przez łącze da nych (jak IP i Ap ple Talk) jest kon- 
f i gu ro wa ny dy na micz nie za po mocą od po wied nie go pro tokołu ster o wa nia siecią (Ne¬ 
tWork Control Protocol - NCP). Aby wysłać datagram IP przez łącze, obie strony 
uczest niczące w połączę niu PPP muszą naj pierw wy ne go cjo wać uży wa ne przez ka¬ 
żdą z nich ad re sy IP. Pro to kół ste rujący uży wa ny w tej ne go cja cji to pro tokół sterowa 
niaprotokołeminternetowym (InternetProtocolControlProtocol - IPCP). 

Po za wy syłaniem stan dar do wych da ta gra mów IP przez łącze, PPP ta kże obsługu je 
kompresję nagłówków (Van Jacobsona) datagramów IP. Technika ta zmniejsza 
nagłów ki pa kie tów IP do za le d wie trzech baj tów. Jest ona ta kże sto so wa na w CSLIP 
i potocznie nazywa się ją kompresją nagłówków VJ. Użycie kompresji może być 
rów nież ne go cjo wa ne za po mocą pro to kołu IPCP. 

PPP w Linuksie 

W Linuksie do funkcjonowania PPP są potrzebne dwie rzeczy: element jądra 
obsługujący protokoły niskopoziomowe (HDLC, IPCP, IPXCP itp.) i demon pppd 
działający w przestrzeniużytkownika i obsługujący różne pro to koły wyższe go po¬ 
ziomu, ta kie jak PAP i CHAP. Ak tu al na wer sja opro gra mo wa nia PPP dla Linuk sa 
za wie ra de mon pppd i pro gram o na zwie chat, któ re au to ma ty żują połączę nie te le f o- 
nicz ne z sys te mu zdał ne go. 

Ste rown ik PPP jądra zo stał na pis any przez Mi chae la Cal lah ana i prze rob iony przez 
Pau la Mac kerr asa. pppd po wstało na pod staw ie dar mow ej im plem enta cji PPP* dla 
Suną i kom puterów 386BSD, na pis anej przez Drew Per kinsa i in nych i utrzym ywa- 
nej przez Pau la Mac kerr asa. Zo stało prze nieś ione na Linuk sa przez Ala Lon gye ara. 
Pro gram chat na pisał Karl Fox**. 

Podobnie jak SLIP, tak i PPP został zaimplementowany przez specjalny pro to kół 
obsługi łącza. Aby wy ko rzy stać łącze sze re go we ja ko łącze PPP, mu sisz naj pierw jak 
zwy kle ze sta wić połączę nie przez mo dem, a na stęp nie przełączyć łącze w tryb PPP. 
W tym try bie wszyst kie przy chodzące da ne są prze ka zy wa ne ste row ni ko wi PPP, 


* Je żeli masz ja kie kol wiek og ólne py ta nia na te mat PPP, kie ruj je do li sty dys ku syj nej Linux-net na ad res 

vger.mtgers.edu. 

** Z Kar lem mo żna się skon tak to wać pod ad re sem karl@morningstar.com . 
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któ ry spraw dza po praw ność przy chodzących ra mek HDLC (ka żda ram ka HDLC 
za wie ra 16- bitową su mę kon tro Iną), roz pa ko wu je je oraz obsługu je. Obec nie PPP 
jest w stanie prze syłać za rów no pro to kół IP, opcjo nal nie z kom pre sją nagłów ków 
Van Ja cob so na, jak i pro to kół IPX. 

pppd wspo ma ga ste row nik jądra, wy ko nując obo wiązkową fa zę ini cja cyjną i u wie 
rzy teł niającą, za nim rze czy wi sty ruch sie cio wy zo sta nie przesłany przez łącze. Za¬ 
cho wa nie pppd można regulować szeregiem opcji. Ponieważ PPP jest raczej 
złożonym pro to kołem, nie mo żli we jest wy ja śnie nie wszyst kich opcji w jed nym roz- 
dzia le. Dla te go ta książka nie oma wia wy czer pująco pppd, a tył ko po da je ogól ny za¬ 
rys. Dokład niej sze in for ma cje znaj dziesz we wspo mnia nej już książce Using & Ma¬ 
na ging PPP lub na stro nach podręcz ni ka elek tro nicz ne go pppd oraz we wspo mnia- 
nych już pli kach README pa kie tu źródłowe go pppd. Po mogą ci one od po wie dzieć 
na wię k szość py tań, któ re tu taj nie zo stały uwzglę d nio ne. Po moc ny może być ta kże 
do ku ment PPP-HOWTO. 

Praw do po dob nie w kon fi gu ro wa niu PPP naj bar dziej po mogą ci in ni uży t kow nicy tej 
sa mej dys try bu cji Linuk sa. Py ta nia o kon fi gu ra cję PPP są do syć po wszech ne, a więc 
spraw dź swoją lo kalną gru pę dys ku syjną lub ka nał linuk so wy na IR C-u. Je żeli masz 
pro ble my na wet po prze czy ta niu do ku men ta cji, możesz spróbować je roz wiązać po¬ 
przez grupę dyskusyjną comp.protocols.ppp. Jest to miejsce, gdzie spotyka się więk¬ 
szość osób za an ga żowa nych w ro zw ój pppd. 

Eksploatacja pppd 

Gdy chcesz się podłączyć do Internetu przez łącze PPP, musisz skonfigurować 
podsta wo we funk cje sie cio we, jak urządzę nie pę tli zwrot nej i re solver. Obie zo stały 
omówione w roz dzia le 5, KonfigurowaniesieciTCP/IP, i w roz dzia le 6, Usługinazew ni 
czeikonfigu rozca?zieresofoera.Możeszpoprostuskonfigurowaćserwernazwswojego 
do staw cy Inter ne tu w pliku /etc/resolv.conf, ale bę dzie to ozna czało, że ka ż de żąda nie 
DNS jest wy syłane przez łącze sze re go we. Ta sy tu acja nie jest opty mai na. Im je steś 
bliż ej (w sen sie sie ci) swo je go ser we ra nazw, tym szyb ciej są re ali zo wa ne wy szu ki¬ 
wa nia nazw. Al ter na ty w nym roz wiąza niem jest skon fi gu ro wa nie ser we ra nazw pa¬ 
rnię ci podręcz nej na ho ście w two jej sie ci. Ozna cza to, że pierw sze za py ta nie DNS 
o okre ślo ne go ho sta jest wy syłane przez łącze sze re go we, ale od po wie dź na ka ż de 
ko lej ne bę dzie wy syłana bez po śred nio z two je go lo kal ne go ser we ra nazw i bę dzie 
re alizo wana dużo szyb ciej. Konfi gura cja ta jest opisana wpod rozdziale Konfiguracja 
namedjakoserwerapamięcipodręcznej roz działu 6. 

Dla po trzeb na szego przykładu re aliz acji połączę nia PPP z pppd załóżmy, że znów 
je steś na ho ście vlager. Naj pierw dzwo nisz do ser wera PPP, c3po,i lo guj esz się na 
koncie ppp. Serwerc3po uruchamia swój sterownik PPP. Po zakończeniu pracy 
z pro gra mem ko mun ika cyj nym uży w anym do dzwo nien ia, jest wy kon ywa ne na¬ 
stęp ujące po lec enie, w kt órym mu sisz zastąpić po kaz aną na zwę urządzę nia sze re 
gowegottyS3 swoją nazwą. 

# pppd /dev/ttyS3 38400 crtscts defaultroute 
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Roz dział 8: Pro to kół punkt-punkt 


Polecenie to przełącza łącze szeregowe ttyS3 na protokół obsługi PPP i negocjuje 
łącze IP z c3po. Pręd kość używ ana na tym por cie sze reg owym wy nosi 38 400 bit ów 
na sekundę. 

Opcja c r t s c t s włącza na por cie uzgadn ianie sprz ęt owe, które jest bez względn ie 
wymagane przy pręd koś ciach po wyż ej 9600 bps. 

Po uru cho mie niu pppd w pierw szej ko lej no ści ne go cju je kil ka cha rak te ry styk łącza 
z drugą stroną za pomocą LCP. Zwykle wystarcza domyślny zestaw opcji pppd, 
a więc nie będzie my tu roz wi jać te go te ma tu. Wy star czy po wie dzieć, że ta ne go cja cja 
częścio wo do ty czy żąda nia lub przy pi sa nia ad re sów IP dla ka ż dej ze stron połączę nia. 

Na ra zie zakłada my, że ser wer c3p o nie wy maga od nas żadn ego uwier zyte lnie nia, 
a więc faza kon fig ura cji ko ńczy się pełnym suk ces em. 

pppd bę dzie na stęp nie ne go cjo wać pa ra me try IP z drugą stroną, uży wając IPCP - 
pro to kołu ste rujące go IP. Po nie waż wcze śniej nie okre śli liś my żad ne go szcze gól ne 
go ad re su IP dla pppd, to bę dzie on pró bo wać wy ko rzy stać ad res uzy ska ny od re 
solve ra spraw dzające go lo kalną na zwę ho sta. Na stęp nie obie stro ny prze każą so bie 
wzajemnieswojeadresy. 

Zwy kle w usta wie niach do my śl nych nie ma nic złego. Na wet je żeli twój kom pu ter 
znaj du je się w sie ci Et her net, możesz mieć ten sam ad res IP za rów no dla in ter fej su 
Et her net, jak i PPP. Jed nak pppd po zwa la uży wać in ne go ad re su, a na wet za su ge ro- 
wać dru giej stro nie uży cie ja kie goś okre ślo ne go ad re su. Opcje te oma wia my da lej, 
w pod roz dzia le Opcjekonfigu ra cyj nelP. 

Po prze jś ciu przez fa zę kon fi gu ra cji IPCP, pppd przy go tu je war stwę sie ciową two je 
go ho sta do działania w ro li łącza PPP. Naj pierw kon fi gu ru je in ter fejs sie cio wy PPP 
ja ko łącze punkt-punkt, uży wając pppO dla pierw sze go ak tyw ne go łącza PPP ,pppl 
dla dru gie go i tak da lej. Na stęp nie do ko nu je wpi su w ta bli cy ru tin gu, tak by wska- 
zy wał on na ho sta po dru giej stro nie łącza. W po przed nim przykladziepppd ustawił 
domyślny ru tingdosiecinac3po,ponieważpodaliśmygowopcjidef aultroute*. 
Obec ność tra sy do my śl nej uprasz cza ru ting, gdyż wszel kie da ta gra my IP nie prze 
zna czo ne dla ho sta lo kal ne go są wy syłane do c3po. Ma to sens, po nie waż jest to je 
dy na tra sa, którą mo żna do nie go do trzeć. Ist nie je sze reg róż nych sche ma tów ru tin- 
gu obsługi wa nych przez pppd. Omó wi my je szcze gółowo w dal szej czę ści te go roz¬ 
działu. 

Używanie plików opcji 

Za nim pppd dokona anal izy składniow ej argume ntów wier sza po lec eń, przegląda 
kilka plików w po szuk iwa niu opcji do myś lny ch. Pliki te mogą za wier ać wszel kie 
dopuszczalne argumenty wiersza poleceń rozrzucone po wielu wierszach. Znaki 
hasha (#) oznac zają ko ment arze. 

Pierwszym plikiem opcji jest /etc/ppp/options. Jest on zawsze przeglądany podczas 
uru cha mia nia pppd. Uży cie te go pli ku do usta wie nia kil ku glo bal nych war to ści do- 


Do my ślna tra sadosiecijestin stało wa na tylko wtedy, gdy żadna inna niejestdotejporyzdefiniowana. 
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myśl nych jestdobrympomysłem,ponie waż po z wa la po wstrzy mać uży t kow ni kó w 
od zrobienia pewnych rzeczy, które mogą zagrażać bezpieczeństwu systemu. Na 
przykład, aby włączyć w pppd wy móg uwie rzy teł nia nia (PAP czy CHAP) dla dru¬ 
giej strony, wy star czy do dać w tym pliku opcję auth. Opcja ta nie może być zmie nio- 
na przez użytkownika, a więc niemożliwe staje się zrealizowanie połączenia PPP 
z ja kim kol wiek sys te mem, któ ry nie znaj du je się w au to ry za cyj nej ba zie danych. Za¬ 
uważ jed nak, że nie któ re opcje mo żna zmie nić. Do brym przykładem jest ciąg zna¬ 
ków opcji connect. 

Inny plik opcji od czytywany po /etc/ppp/options, to .ppprc w katalogu macierzystym 
użytk owni ka. Po zwala on ka żd emu użytk owni kowi okreś lić własny ze staw opcji 
domyślnych. 

Przykład owy plik /etc/ppp/options mógłby wyglądać tak: 

# Globalne opcje dla pppd dziada jlUcego na vlager.vbrew.com 
lock # udyj blokowania urzddzenia w stylu UUCP 

auth # wymóg uwierzytelnienia 

usehostname # uDyj lokalnej nazwy hosta dla CHAP 

domain vbrew.com # nazwa naszej domeny 

Słowo klu czo we 1 o c k po wo du je, żepppd obsługu je me to dęblo ko wa nia urządzę nia 
zgodną ze stan dar dem UUCP. W tej kon wen cji ka żdy pro ces, któ ry ma do stęp do 
urządzenia szeregowego, na przykład /dev/ttyS3, tworzy w specjalnym katalogu 
plik blo kujący o na zwie po sta ci LCK. ,ttyS3 i w ten spo sób in for mu je, że urządzę nie 
jest używane. Jest to jedynamożli wość, aby inne pro gra my, ta kie jak minicom czy 
uucico, nie otwie rały urządzeń sze re go wych uży wa nych przez PPP. 

Kolejne trzy opcje odnoszą się do uwierzytelnia nia i co za tym idzie są związane 
z bez pie cze ństwem sys te mu. Opcje uwie rzy tel nia nia naj le piej umie ścić w glo hal¬ 
nym pliku konfiguracyjnym, ponieważ jest on „uprzywilejowany" i ma wyższy 
prio ry tet niż pli ki opcji użytków ni k ów-/.ppprc (nie mogą oni zmie niać usta wio nych 
w nim opcji). 

Stosowanie chat do automatycznegodzwonienia 

Jedną z rze czy w po przed nim przykładzie, któ ra mogła wy dać ci się nie wy god na, 
jest to, że mu sisz ręcz nie zre ali zo wać połączę nie, za nim bę dziesz mógł uru cho mić 
pppd. W od róż nie niu od dip, pppd nie ma własne go ję zy ka skryp to we go po zwa łające 
go na dzwo nie nie i lo go wa nie się do zdał nych sys te mów, ale ko rzy sta z ze w nętrz ne 
go pro gra mu lub skryp tu powłoki. Po le ce nie do wy ko na nia może być poda n epppd 
za po mocą opcji wier sza po le ceń c o n n e c t. pppdprze kie ru je stan dar do we we jś cie 
i wy jś cie po le ce nia do łącza sze re go we go. 

Pakietoprogramo waniapppd za wiera bar dzo pro sty pro gram chat, któ ry może być 
uży w any do au tom aty zac ji pro stych se kwenc ji lo gow ania. Po lec enie to om ówi my 
bar dziej szc zegóło wo. 

Je żeli two ja se kwen cja lo go wa nia jest złożona, bę dziesz po trze bo wał cze goś lep sze 
go niż chat. Na pew no wart roz wa że nia jest expect , na pi sa ny przez Do na Li be sa. Ma 
bar dzo wy daj ny ję zyk opar ty na Tcl i zo stał prze wi dzia ny właśnie do ta kich za dań. 
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Je śli masz se kwen cję lo go wa nia, któ ra wy ma ga na przykład u wie rzy teł nie nia ty pu 
wywołanie/odpowiedź, opatre go na kał ku la torowych generatorach kluczy, prze¬ 
konasz się, że expect jest wy star czająco do bry, by zre ali zo wać to za da nie. Po nie waż 
mo żli wo ści są tu taj du że, nie będzie my opi sy wa li, jak stwo rzyć od po wied ni skrypt 
expecta. Dość po wie dzieć, że swój skrypt expect możesz wy wołać, po dając je go na¬ 
zwę w opcji connect pppd. Trzeba ta kże wiedzieć, że gdy skrypt zostanie urucho- 
mio ny, stan dar do we we jś cie i wy jś cie zo staną podłączo ne do mo de mu, a nie do ter- 
mina la, z które go został wy wołany pppd. Je żeli wy magana jestin te rak cjazużytkow- 
ni kiem, po wi nie neś ją obsłużyć, otwie rając do dat ko wy wir tu al ny ter mi nal lub w ja¬ 
kiś inny sposób. 

Polecenie chat pozwala ci stworzyć skrypt dialogowy w stylu UUCP. Zasadniczo 
skrypt chat składa się z ko lej nych se kwen cji ciągów znaków, których ocze ku je my od 
zdalne go sys te mu, i od po wie dzi, które na nie wy syłamy. Na zy wa my je od po wied nio 
ciągiem oczekiwanym (ang. expect string) i ciągiem wysyłanym (ang. send string). Oto 
ty po wy f rag ment skryp tu dia lo go we go: 
ogin: blff ssword: s3|<rlt 

Ten skrypt in for mu j echat, że by cze kał, aż sys tern zdał ny przy ś le mo nit lo go wa nia, 
i w odpowiedzi wysłał nazwę użytkownika blff. Oczekujemy tylko na ogin:, 
a więc nie ma zna cze nia, czy mo nit lo go wa nia za czy na się dużą, czy małą li terą 1. 
Na stęp ny ciąg po wo duje, żechat cze ka na mo nit hasła i wy syła w od po wie dzi na sze 
hasło. 

W za sa dzie jest to wszyst ko, co ro bią skryp ty dia lo go we. Pełny skrypt dzwo niący do 
serwera PPP oczywiście musiałby zawierać odpowiednie polecenia modemu. 
Załóż my, że twój mo dem ro zu mie ze staw po le ceń Hay esa, a nu mer te le fo nu serwe¬ 
ra to 318714. Pełne wy wołanie chat re ali żujące połączę nie zc3po byłoby następujące: 

$ chat -v '' ATZ OK ATDT318714 CONNECT '' ogin: ppp word: GaGariN 

Z de fi ni cji pierw szy ciąg mu si być ciągiem ocze ki wa ny m, ale po nie waż mo dem nic 
nie przy ś le, za nim go nie za ini cju je my, usta wi liś my chat tak, aby po mi jal pierw szy 
ocze ki wa ny ciąg znaków, po dając ciąg pu sty. Na stęp nie wy syłamy AT z -po le ce nie 
ze ro wa nia mo de mów kom pa ty bil nych ze stan dar dem Hay esa i cze ka my na od po¬ 
wie dź (OK). Ko lej ny ciąg znaków wy syła dochatpo le ce medial wraz z nu me rem te le 
fo nu i ocze ku je w od po wie dzi ko mu ni ka tu CONNE C T . Da lej zn ów na stę pu je pu sty 
ciąg znaków, po nie waż nie chce my te raz nic wy syłać, a ra czej cze ka my na mo nit lo¬ 
go wa nia .Pozostałaczęść skryp tu dia lo go we go działa dokład nie tak, jak opi sa liś my 
wcze śniej. Opis ten praw do po dob nie wygląda na nie co za gma twany, ale za chwi lę 
zo ba czy my, że ist nie je spo sób na stwo rze nie skry ptów dia lo go wych du żo łatwiej¬ 
szych do zro zu mie nia. 

Opcja -v po wod uje, że chat lo guje wszyst kie działania przez funk cję 1 o c a 12 * de mo- 
na syslog. 


Je żeli do ko nasz edy qi pli ku syslog.confi prze kie ru jesz te ko mu ni ka ty do pli ku, spraw dź, czy plik ten 
nie jest czy tel ny dla wszyst kich, gdyż chat do my śl nie wpi su je tam rów ni eż cały skrypt dia lo go wy - 
włącznie z hasłami. 
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Poda nie skryp tu dia lo go we go w wier szu po le ceń jest ry zy kow ne, po nie waż użyt¬ 
ków ni cy mogą po dej rzec wiersz po le ceń za po mocą ps. Ry zy ka te go możesz unik¬ 
nąć, umiesz czając skrypt dia lo go wy w pli ku na przykład dial-c3po. Na stęp nie zmu¬ 
szasz chat do czy ta nia skryp tu z pli ku za miast z wier sza po le ceń, po dając opcję -/, 
a po niej na zwę pli ku. Ta kie po de jś cie ma do dat kową za le tę - ułatwia zro zu mie nie 
se kwen cji skryp tu dia lo go we go. Po za mia nie na sze go przykładu na plik dial-c3po 
bę dzie on wyglądał na stę pująco: 

' ' AT Z 

OK ATDT318714 

CONNECT 

ogin: ppp 

word: GaGariN 

W tej po sta ci skryp tu dia lo go we go ocze ki wa ny ciąg znaków znaj du je się po le wej 
stro nie, a to co wy syłamy w od po wie dzi - po pra wej. Coś po ka za ne go w ta ki spo sób 
czy ta się du żo łatwiej. 

Pełne wywołanie pppd te raz wyglądałoby następująco: 

# pppd connect "chat -f dial-c3po" /dev/ttyS3 38400 -detach \ 
crtscts modem defaultroute 

Po za opcją connect okre ślającą skrypt, poda liś my w wier szu po le ceń dwie do dat- 
ko we opcje: - detach, któ ra mó wi pppd, by nie odłączał się od kon so li i nie sta wał się 
pro ce sem działającym w tle, oraz słowo klu czo wemodem,które realizuje działania 
spe cy f icz ne dla mo de mu wi docz ne go ja ko urządzę nie sze re go we, czy li rozłączę nie 
li nii przed dzwo nie niem i po nim. Je żeli nie uży jesz te go słowa klu czo we go, pppd nie 
bę dzie spraw dzało li nii DCD por tu i nie wy kry je, czy przy pad kiem dru ga stro na się 
nie za wie siła. 

Pokazane przykłady są raczej proste, chat pozwala na tworzenie dużo bardziej 
skomplikowanych skryp tów. Na przykład mo żna okre ślić ciąg zna ków, przy któ¬ 
rym dialog zostanieprzerwany z błędem. Typowe ciągi przerywającekomunikat 
BUSY czy NO CARRlER.Modemzwyklejegeneruje,gdywywoływanynumerjest 
zajęty albo nie odpowiada. Aby chat rozpoznawał te komunikaty natychmiast, 
możesz je wpi sać na początku skryp tu, uży wając słowa klu czo we go AB ORT: 

$ chat -v ABORT BUSY ABORT 'NO CARRIER’ ’ ’ ATZ OK . . . 

Po dob nie możesz zmie nić war to ści cza su ocze ki wa nia dla czę ści skr yptów dia lo go- 
wych, wsta wiając tam opcje TIMEOUT. 

Cza sami po trzebne jest ta kże wa runk owe wy kon y wa nie czę ści skry p tu chat : gdy nie 
otrzym asz mo nitu lo gow ania dru giej stro ny, za pewne ze chcesz wysłać BREAK lub 
po wrót ka retki. Możesz to zro bić, do dając pod skrypt do oczek iwa nego ciągu. Pod- 
skrypt składa się z od dziel ony ch kreską se kwenc ji ciągów wysyłanego i oczek iwa- 
nego, tak jak nor mai ny skrypt. Pod skrypt jest wy ko ny wa ny wtedy, gdy oczek iwa ny 
ciąg znaków, do które go jest do klej ony, nie na dejd zie na czas. Po wyż szy przykład 
moglibyśmy zmodyfikowaćnastępująco: 

ogin:-BREAK-ogin: ppp ssword: GaGariN 
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Gdy chat nie zo ba czy mo ni tu lo go wa nia zdał ne go sys te mu, wy woły wa ny jest pod- 
skrypt, któ ry naj pierw wy syła BRE AK, a na stęp nie cze ka po now nie na mo nit lo go- 
wa nia. Je żeli te raz mo nit się po ja wi, skrypt działa da lej nor mai nie. W prze ciw nym 
ra zie ko ńczy działanie z błędem. 

Opcje konfiguracyjne IP 

Protokół IPCP jest uży wa ny do ne go cjo wa nia sze re gu par am etrów IP w cza sie kon- 
fi gu ra cji łącza. Zwy kle ka żda ze stron wy syła pa kiet żąda nia kon fi gu ra cji IPCP (ang. 
IPCP configuration recjuest) zawierający zmienne, których wartość domyślną chce 
zmie nić. Po je go otrzy ma niu stro na zdał na spraw dza ka żdą opcję po ko lei i po twier¬ 
dza ją al bo od rzu ca. 

pppd daje ci dużą kon trolę nad opcja mi IPCP, które próbu je ne goc jować. Możesz je 
do stos owy wać przez różne opcje wier sza po lec eń, kt óre omaw iamy poniżej. 

Wybór adresów IP 

Wszyst kim in ter fej som trze ba przy pi sać ad re sy IP. Urządzę nie PPP zaw sze ma ad res 
IP. Wze sta wie pro to kołów PPP znaj du je się me cha nizm po zwa łający na au to ma tycz¬ 
ne przy pi sa nie adre sów IP do interfejsów PPP. Pro gram PPP po jed nej stro nie łącza 
punkt-punkt może przy pi sać ad res IP dru gie mu ko ńco wi, ale mo żli we jest ta kże, by 
ka żdy uży wał własne go ad re su IP. 

Nie któ re ser we ry PPP obsługujące wie le klien tów przy pi sują ad re sy dy na micz nie. 
Są one przy pi sy wa ne do sys te mów tył ko wte dy, gdy te za dzwo nią, a od bie ra ne im, 
gdy się wy lo gują. Po zwa la to na ogra ni cze nie licz by ad re sów IP do licz by li nii ko¬ 
mutowanych. Choć ograniczenie to jest wygodne dla zarządców komutowanego 
ser we ra PPP, czę sto jest mniej wy god ne dla dzwo niących do nie go użyt kow ni ków. 
W roz dzia le 6 omó wi liś my spo sób od zo ro wy wa nia nazw ho stów na ad re sy IP za po¬ 
mocą ba zy da nych. Aby lu dzie mo gli podłączyć się do two je go ho sta, muszą znać je 
go ad res IP lub na zwę. Je żeli je steś użyt kow ni kiem usługi PPP, któ ra przy pi su je ci 
ad res dy na micz nie, trud no bę dzie ci się te go do wie dzieć bez uzy ska nia cze goś w ro¬ 
dzą ju po zwo le nia na uak tu al nia nie ba zy da nych DNS po przy pi sa niu ad re su IP. Ta¬ 
kie sys te my ist nieją, ale nie będzie my ich tu szcze gółowo oma wiać. Przyj rzy my się 
na to miast pre fe ro wa ne mu po de jś ciu, któ re pole ga na uży ciu te go sa me go ad re su IP 
za ka żdym ra zem, gdy usta na wiasz swoje połączę nie sie cio we*. 

W poprzednim przykładzie mieliśmy host c3po, na którym działał demon pppd, 
i z nim ze staw iii śmy połączę nie IP. Nie po sta wi liś my warunku, by po ja kiejk olwi ek 
stro nie połączę nia zo stał wy bra ny kon kret ny ad res IP. Za miast tego po zwoi iii śmy 
pppd na re aliz ację swo jego działania do myś lne go. Demon ten próbował zna leźć ad¬ 
res IP dla na zwy ho sta lo kaln ego, w na szy m przykładzie vlager, który wy ko rzy stał 
po stro nie lo kaln ej oraz po zwolił ma szyn ie zdał nej c3po na ustal enie własnego ad¬ 
resu. PPP obsługuje kil ka ró żn ych sposobów przy pis y wa nia nume rów IP. 


* Wię cej in for ma cji na te mat dw óch me chanizmów dy na micz ne go przy pisy wa nia host ów znajdziesz 
podadresami: http://wwzv.dynip.com i http://zvzvw.justlinux.com/dynamic_dns.html. 
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Aby uzys kac kon kretne ad resy, wywołujesz pppd z na stęp ującą opcją: 

adres_lokalny: adres_zdalny 

adr e s_loka 1 ny i adres_zdalny mogą być poda ne zaró wno w po stad liczbow ej, 
jak i w po stad nazw hostów*. Ta opcja po wod uje, że pppd pr óbu je używ ać pierw¬ 
szego z do stare zony ch ad resów jako własnego ad resu IP, a dru giego jako ad resu 
part nera. Je żeli part ner odmo wi przy jęc ia któr ego kolwiek ad resu w cza sie ne goc- 
jacji IPCP, łącze nie zo stan ie uak ty w nio ne**. 

Je żeli dzwo nisz do ser we ra po ad res IP, po wi nie neś spraw dzić, czy pppd nie pró bu je 
wy ne go cjo wać ad re su dla sie bie. W tym ce lu użyj opcji noipdefault i po zo staw pole 
adres_lokalny pu ste. Opcjanoipde/Bw/fpowstrzymademonapppd przed próbą uży- 
ciaadresu IP związane go z nazwą ho sta ja ko ad resu lokalne go. 

Gdy byś chciał usta wić tyl ko ad res lo kal ny oraz przyjąć ad res uży wa ny przez part- 
ne ra, po pro stu po zo staw pu ste po le a dr e s_ z da 1 ny. Aby vlager uży wał ad re su IP 
130.83.4.27 za miast swoje go własne go, po daj w wier szu po le ceńl30.83.4.27:. Po dob¬ 
nie, aby usta wić je dy nie ad res zdał ny, po zo staw pu ste po le a dres_ 1 oka 1 ny. Do¬ 
my śl ni epppd uży je ad re su związa ne go z nazwą two je go ho sta. 

Ru ting przez łącze PPP 

Po skonfigurowaniu interfejsu sieciowego, pppd zwykle kon fi guru je je dynie trasę 
ho sta do je go part ne ra. Je żeli zdał ny host jest w sie ci LAN, pew nie chcesz łączyć się 
ta kże z ho sta mi „ po za" two im part ne rem. W ta kiej sy tu acji na le ży skon f i gu ro wać ta k ż e 
trasę dla sieci. 

Wi dziel iśmy już, że za po mocą opcpdefaultroute, mo żna po pros i ćpppd o skon fig uro- 
wan ie tra sy do myś lnej. Opcja ta jest bar dzo przy datna, je żeli ser wer PPP, do któ rego 
za dzwoniłeś, działa jako twój ga tew ay in tern eto wy. 

Od wrotny przy pad ek, w któr ym twój sys tern działa jako ga tew ay dla po jed ynczego 
ho sta, jest ta kże sto sunk owo łatwo zre aliz ować. Na przykład we źmy pra cown ika 
bro waru wir tua lne go, któ rego ma szyna do mowa na żywa się oneshot . Załóżmy ta¬ 
kże, że skon fig uro wal iśmy vlager jako wdzwa niany ser wer PPP. Je żeli skon fig uro- 
wal iśmy vlager do dy nam iczne go przy pis y wa nia ad resu IP na leżącego do pod sieci 
bro waru, możemy użyć w pppd opcji proxyarp, która za ins talu je wpis proxy ARP dla 
oneshota . Au tom aty cznie oneshot sta nie się do stępny ze wszyst kich hostów w bro¬ 
war ze i wi niarni. 

Jed nak nie zaw sze jest to ta kie pro ste. Połączę nie dwóch sie ci lo kal nych zwy kle wy- 
ma ga do da nia szcze gól ne go ru tin gu do sie ci, po nie waż sie ci te mogą mieć własne 
tra sy do my śl ne. Po za tym, gdy by obie stro ny łącza PPP były do my śl ny mi tra sa mi 
dla ka ż dej z sie ci, mogłaby po wstać pę tla, w któ rej wszyst kie pa kie ty o nie zna nym 


* Uży cie nazw ho stów w tej opcji ma wpływ na uwie rzy teł nia nie CHAP. Zaj rżyj do pod roz działu Uwie¬ 
rzy telnia niewPPPw dal szej czę ści tego roz działu. 

** Opcje ipcp-accept-local i ipcp-accepf-re»rofemówiątwojemudemonowippprf,abyzaakceptowałlokalny 
izdalny adres IP oferowany przez zdalne PPP, na wet je żeli podałeś ja kies ad resy w swój ejkonfiguracji. 
Jeżeli te opcje niesą skonfigurowane, twój demon pppdodrzu ci wszelkiepróbynegoq'acjiadre sów IP. 
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prze zna cze niu od bi jałyby się po mię dzy ko ńca mi łącza PPP, aż do wy ga śnię cia ich 
czasużycia. 

Załóż my, że bro war wir tu al ny otwie ra od dział w in nym mie ście. Ten od dział ma 
własną sieć Et her net o ad re sie IP 172.16.3.0, któ ra jest trze cią pod sie cią sie ci kła sy B 
browaru. Filia chce podłączyć się do sieci browaru przez PPP w celu uaktualnia¬ 
nia baz klientów. Znówvlager działa jako gateway dla sieci bro waru i obsługuje 
łącze PPP. Jego drugi koniec w oddziale nazywa się vbourbon i ma adres IP 
172.16.3.1. Sieć ta jest po ka za na na ry sun ku A-2 w do dat ku A , Przykład o zva sieć: bro¬ 
war wir tu alny. 

Gdy vbourbon łączy się z vlagerem, usta wia tra sę do my ślną tak, by wska zy wała jak 
zwy kle na vlager. Jed nak na vlagerze będzie my mie li tył ko tra sę punkt-punkt do 
vbourbon i będzie my mu sie li spe cjal nie skon fi gu ro wać ru ting sie ci dla pod sie ci 3 
wy korzystujący vbourbon ja ko ga te way. Możemy to zro bić ręcz nie, uży wając po le 
ce nia rou te po ze sta wie niu połączę nia PPP, ale nie jest to zbyt prak tycz ne roz wiąza¬ 
nie. Na szczęście możemy skonfigurować trasę automatycznie, używając funkcji 
pppd, której jeszcze nie omawialiśmy: polecenia ip-up. Polecenie to jest skryptem 
powłokialboprogramemulokowanymwkatalogu/ etc/ppp i jest uru cha mia ne przez 
pppd po skon fi gu ro wa niu in ter fej su PPP. Jest wy woły wa ne z na stę pujący mi pa ra- 
metrami: 

ip-up interfejs urzUdzenie prUdkoUU adr_lok adr_zdal 

Po niżs za ta be la podaje zna cze nie ka żd ego ar gum entu (w pierw szej ko lumn ie po¬ 
kaz uje my licz bę uży w aną przez skrypt powłoki przy od woły wan iu się do ka żd ego 
zargumentów): 


Argument 

Nazwa 

Przeznaczenie 

$1 

interfejs 

Uży wa ny in ter fejs sie cio wy, np. ppp 0. 

$2 

urzUdzenie 

Ście żka do pli ku używa negourządzeniaszerego we go 
(/dew/ffyjeżelijestużywanestdin/stdout). 

$3 

prOdkoOD 

Pręd kość urządzę nia sze re go we go wb/s. 

$4 

adr lok 

AdresIPlokalnegokońcałączawpostaciliczbo wej. 

$5 

adr zdał 

Ad res IP zdał ne go ko ńca łącza w po sta ci licz bo wej. 


W na szym przy pad ku skrypt ip-up może za wie rać na stę pujący frag ment ko du*: 

#!/bin/sh 
case $5 in 

172.16.3.1) # to jest vbourbon 

route add -net 172.16.3.0 gw 172.16.3.1;; 


esac 
exit 0 


Gdy by śmy chcie li mieć ru ting do in ny ch oś rodków stwo rzo ny ch przy ich wdzwa nia niu się, doda li by 
śmy w przykładzie od po wied nie dy rek ty wy case w miej scach wy kropkowanych. 
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Podobnie /etc/ppp/ip-down może być uży te do cof nię cia wszel kich działań ip-up po 
rozłączę niu łącza PPP. Tak więc w na szym skryp cie /etc/ppp/ip-down moglibyśmy 
mieć po le ce nie route usu wające tra sę stwo rzoną w skryp cie /etc/ppp/ip-up. 

Jed nak nie jest to jesz cze pełny sche mat ru tin gu. Stwo rzy liś my wpi sy w ta bli cy ru- 
tin gu na obu ho stach PPP, ale do tej po ry ża den host w żad nej z tych sie ci nic nie wie 
o łączu PPP. Nie stanowi to problemu, jeżeli wszystkie hosty w oddziale mają 
własny ru ting do my śl ny wska żujący na vbourbon, a wszyst kie ho sty w bro wa rze 
mają do my śl ny ru ting navlager. Je żeli jed nak w two jej sy tu acji nie jest to do bre roz¬ 
wiązanie, jedną możliwością jest zwykle zastosowanie demona rutingu, na 
przykład gated. Po utwo rze niu tra sy dovlagera, de mon ru tin gu rozgłasza ją wszyst¬ 
kim ho storn w podłączo nych pod sie ciach. 

Opcje sterowania łączem 

Spo tkał iśmy się już z pro tokołem ste row ania łączem (LCP), któ ry jest uży w any do 
ne goc jacji cha rakt ery sty k i te stów ania łącza. 

Dwie najważniejsze opcje negocjowane przez LCP to: mapa znaków sterujących w 
trajismisjiasynchronicznej (AsynchronousControlCharacterMap) i maksymalna jednostka 
odbioru (Maxim umReceiue Unit). Ist nieje sze reg in nych opcji konfig ura cyj nych LCP, 
ale są one zbyt spe cjal ist yczne, by je tu omaw iać. 

Mapa znaków sterujących w transmisji asynchronicznej, potocznie zwa na mapą 
asynchroniczną (ang. async map), jest uży wa na w łączach asyn chro nicz nych, ta kich 
jak li nie te le fo nicz ne, do iden ty fi ko wa nia zna ków ste rujących, któ re muszą być ma¬ 
sko wa ne (za stę po wa ne przez spe cy ficzną se kwen cję d wu zna kową), aby nie zo stały 
zinterpretowane przez urządzenia używane do zestawiania połączenia. Na 
przykład mo żna w ten spo sób uniknąć zna ków XON i XOFF uży wa nych przy pro- 
gramowymuzgadnianiu, ponieważ źle skonfigurowane mo de my mogłyby się za¬ 
wiesić po otrzymaniu XOFF. Inny potencjalnie niebezpieczny znak to [CTRL+1] 
(znak uciecz ko wy telnet). PPP po zwa la na ma sko wa nie wszel kich zna ków o ko dach 
ASCII od 0 do 31 przez umiesz cze nie ich w ma pie asyn chro nicz nej. 

Ma pa asyn chro nicz na jest 32- bi towym ciągiem wy ra żonym w po sta ci licz by szes- 
nast ko wej. Naj mniej znaczący bit od po wia da zna ko wi NULL ASCII, a naj bar dziej 
znaczący bit od po wia da zna ko wi o dzie sięt nym ko dzie 31 w ze sta wie ASCII. Te 32 
zna ki ASCII są zna ka mi ste rujący mi. Je żeli bit w ciągu jest usta wio ny, sy gna li zu je, 
że od po wia dający mu znak mu sibyć za ma sko wa ny przed przesłaniem przez łącze. 
Aby po wia do mić part ne ra, że nie mu si ma sko wać wszyst kich znaków ste rujących, 
atylkote kil ka, możesz wpro wadzić mapę asyn chroniczną do pppd za po mocą opcji 
asyncmap. Na przykład je żeli muszą być ma sko wa ne tyl ko zna ki A S i A Q (ASCII 17 
i 19, po wszech nie uży wa ne dla XON i XOFF), użyj po niż szej opcji: 

asyncmap 0x000A0000 

Kon wer sja jest pro sta, gdyż po le ga je dy nie na za mia nie licz by bi nar nej na szes nast- 
kową. Na ry suj so bie 32 bi ty. Skraj ny bit z pra wej stro ny od po wia da zna ko wi ASCII 
00 (NULL), a z le wej stro ny zna ko wi ASCII 32 (dzie sięt nie). Ustaw bi ty od po wia- 
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dające zna kom, któ re chcesz ma sko wać, a wszyst kie in ne po zo staw wy ze ro wa ne. 
Aby za mie nić ten ciąg na licz bę szes nast kową, któ rej ocze ku j epppd, po pro stu weź 
ka ż de 4 bi ty i wy raź je w po sta ci licz by szes nast ko wej. Po wi nie neś uzy skać osiem 
cyfr szes nast ko wych. Ułóż z nich ciąg i po prze dź zna ka mi „0x", aby wska zać, że jest 
to licz ba szes nast ko wa. I go to we. 

Początko womapaasynchronicznajestustawionanaOxffffffff,czyli wszyst kie 
zna ki ste rujące są za ma sko wa ne. Jest to bez piecz na war tość do my śl na, ale zwy kle 
jest to du żo wię cej, niż po trze bu jesz. Ka żdy znak, któ ry znaj du je się w ma pie asyn- 
chro nicz nej, da je dwa zna ki w cza sie prze syłania przez łącze, a więc ma sko wa nie 
jest re ali zo wa ne kosz tern zwię k szo ne go wy ko rzy sta nia łącza i zmniej sze nia wy daj- 
ności. 

Zwykle do brze działa mapa async hroni czna o war toś ci 0x0. W ta kim przypadku 
żadne ma skow anie nie jest re aliz owa ne. 

Maksy mai na jednostka odbioru(MRU)przekazujepartne rowi informację o maksy 
mai nym roz mia rze ra mek HDLC, któ re chce my od bie rać. Choć MRU może ci się ko¬ 
ją rzyć z mak sy malną jed nostką trans mi sji (MTU), ma z nią jed nak nie wie le współ ne 
go. MTU to parametr urządzenia sieciowe go jądra i opisu je maksymalny roz miar 
ram ki, którą jest w sta nie wysłać in ter fejs. MRU to in for ma cja dla zdał ne go ko ńca, 
mó wiąca mu, aby nie ge ne ro wał ra mek wię k szych niż MRU. Mi mo to in ter fejs mu si 
mieć mo żli wość od bie ra nia ra mek o wiel ko ści do 1500 baj tów. 

Wy bór MRU nie jest więc kwe stią te go, co łącze może prze nie ść, ale ra czej te go, co 
daje najlepszą przepustowość. Je żeli zamierzasz ko rzy stać z aplikacji interaktyw¬ 
nych, ustawienie MRU na wartości tak małe jak 296 bajtów jest dobrym pomys¬ 
łem, a spo ra dycz ne wię k sze pa kie ty (po wiedz my se sji FTP) nie spo wo dują, że twój 
kur sor bę dzie „ska kał". Aby pppd żądało MRU o war to ści 296, mu sisz po dać opcję 
mru 2 9 6. Jed nak małe MRU ma sens tyl ko, je żeli masz kom pre sję nagłów ków VJ 
(jest ona domyślnie włączona), po nie waż w prze ciw nym ra zie tra cisz sporą czę ść 
łącza na prze syłanie nagłów ka IP ka ż de go da ta gra mu. 

pppd ro zum ie ta kże kil ka opcji LCP kon fig urujących ogó lne za chow anie pro cesu ne 
goc jacji, ta kich jak mak sym alna licz ba żądań kon fig ura cyj nych, któ re mogą być wy¬ 
mień ione przed rozłączę niem łącza. Dop óki dokład nie nie wiesz, co ro bisz, po zos¬ 
taw te opcje w spo koju. 

I na ko nieć, ist nieją dwie opcje, któ re do tyczą po wta rza nia ko mu ni ka tów LCP. PPP 
definiuje dwa komunikaty EchoRecju est i Echo Response. pppd uży wa tej funk cji do 
spraw dza nia, czy łącze wciąż działa. Możesz ją włączyć za po mocą opcji Icp-echo-in- 
terual, po dając czas w se kun dach. Je żeli w za da nym prze dzia le cza su z ho sta zdał ne 
go nie zo staną ode bra ne żad ne ram ki, pppd wy ge ne ru je Echo Requ est i bę dzie ocze 
ki wał aż part ner zwró ci Echo Re spon se. Je żeli part ner nie od po wie, połączę nie jest 
prze ry wa ne po wysłaniu pew nej licz by żądań. Licz ba ta może być usta lo na za po¬ 
mocą opcji icp-echo-failure. Domy śl nie funk cja ta jest wyłączona. 
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Uwagi na temat bezpieczeństwa 

• le skon fi gu ro wa ny de mon PPP może sta no wić po wa żne za grożę nie. Może po zwo- 
lić ka ż de mu na podłączę nie swo je go kom pu te ra do two jej sie ci Et her net (co jest bar¬ 
dzo niebezpiecznie). W tym podrozdziale omówimy kilka środków zaradczych, 
dzię ki któ ry m kon f i gu ra cja two je go PPP bę dzie bez piecz na. 



Doskonfiguro wania urządzeniasieciowegoitablicyrutingusąpotrzebneuprawnienia 
ro ota. Zwy kle roz wiązuje się ten pro blem, uru cha miając pppd z pra wem se tu id root. 
Jed nak pppd po zwa la użyt kow ni kom na usta wia nie różn ych opcji mających wpływ na 
bezpieczeństwo. 


Aby się za bez pie czyć przed ata ka mi, na któ re może na ra zić nas użyt kow nik grze 
biący w opcjach de mo napppd, po wi nie neś usta wić kil ka do my śl nych war to ści w pli¬ 
ku globalnym /etc/ppp/options, na przykład w sposób pokazany w przykład owym 
pli ku we wcze śniej szym pod roz dzia le Uży wa nie plików opcji. Nie któ re z nich, ta kie 
jak opcje uwie rzy tel nia nia, nie mogą być zmie nio ne przez użyt kow ni ka i dzię ki te 
mu dają sensowne zabezpieczenie przed manipulacjami. Ważną opcją zabezpie 
czającą jest connect. Jeżeli masz zamiar pozwolić użytkownikom nie mającym 
upraw nień ro ota na wy woły wa ni epppd i łącze nie się z In ter ne tern, po wi nie neś zaw¬ 
sze do dać opcje connect i noauth wglobalnym pli ku opcji /etc/ppploptions. Jeżeli 
te go nie zro bisz, użyt kow ni cy będą mo gli uru cha miąć róż ne po le ce nia z pra wa mi 
użytkownikaroot,podającjejakopoleceniaconnectw wier szu po le ceń pppd al bo 
umiesz czając w swo im pry wat nym pli ku opcji. 

Innym dobrym pomysłem jest ograniczenieliczbyużytkowników, którym wolno 
uru cha mia ćpppd. W ty m ce lu na le ży utwo rzyć gru pę w pli ku /etc/group i do dać do 
niej tylko tych, którzy mogą uruchamiać demona PPP. Następnie trzeba zmienić 
pra wa do de mo na pppd, tak aby miała do nie go do stęp ta gru pa i usunąć pra wo uru¬ 
chamiania dla pozostałych osób. Zakładając, że nazwałeś swoją grupę dialout, 
możesz zro bić coś ta kie go: 

# chown root /usr/sbin/pppd 

# chgrp dialout /usr/sbin/pppd 

# chmod 4750 /usr/sbin/pppd 

Oczyw iście mu sisz się za bezp iecz yć ta kże przed sys tern ami, z któ rymi łączysz się 
przez PPP. Aby obron ić się przed ho stami udającymi kogo in nego, po win ieneś zaw¬ 
sze wy magaćoddrugiejstronyjakiegośuwier zy te lnie nia. Nie po win ieneś po z wal ać 
ob cym ho storn na uży w anie wy bran ych przez nie adresów IP. Na leży im na tom iast 
wska zać kil ka do godn ych dla cie bie adr esów. Na stępny pod rozd ział szc zegółowo 
opis uje te te maty. 

Uwierzytelnianie w PPP 

W PPP ka żdy sys tern może zażądać uwie rzy tel nie nia part ne ra za po mocą jed ne go 
zdwóchprotokolówuwierzytehńających-.protokołuuwierzytelnianiahasłem (Password 
Authentication Protocol - PAP) i protokołuuwierzytelnieniaprzezuzgodnienie (Challenge 
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HandshakeAu then tica tionProtocol -CHAP). Gdy połączę nie zo sta nie ze sta wio ne, każ¬ 
da stro na może zażądać od dru giej uwie rzy teł nie nia się, bez wzglę du na to, czy jest 
stroną wy wołującą, czy wy woływaną. W dal szym opi sie będzie my lu źno mó wili 
o „klien cie" i „ser we rze", gdy będzie my chcie li rozró żnić sys tern wy syłający żąda¬ 
nie uwierzytelnienia od systemu na nie odpowiadającego. Demon PPP może 
zażądaćuwie rzy teinie nia partne ra, wy syłającżądanie konfiguracyjne LCPiden ty fi- 
kuj ące wy bra ny pr oto kół u wie rzy tel nia nia. 

PAP a CHAP 

PAP, oferowany przez wielu usługodawców internetowych, działa w zasadzie 
w ten sam spo sób jak nor mai na pro ce du ra lo go wa nia. Klient u wie rzy tel nia się, wy¬ 
syłając na zwę użyt kow ni ka i (opcjo nal nie za szy fro wa ne) hasło do ser we ra, któ ry 
porównuje je z bazą danych sekretów*. Ta technika nie stanowi zabezpieczenia 
przed podsłuchi wa cza mi, któ rzy mogą spró bo wać uzy skać hasło, słuchając da nych 
prze syłanych przez łącze sze re go we, i ata ko wać me todą prób i błęd ów. 

CHAP nie ma tych niedostatków. W przy pad ku CHAP ser wer wy syła lo so wo wyge¬ 
nerowany ciąg „wywołania" do klienta wraz ze swoją nazwą hosta. Klient wyko¬ 
rzystuje nazwę hosta do wyszukania odpowiedniego sekretu, łączy go z wy¬ 
wołaniem i szy fru je ciąg za po mocą jed no kie run ko wej funk cji mie szającej. Wy nik 
jest zwra ca ny do ser we ra wraz z nazwą ho sta klien ta. Ser wer te raz wy ko nu je te sa¬ 
me ob li cze nia i po twier dza wia ry god ność klien ta, je żeli uzy ska ten sam wy nik. 

CHAP również nie wy ma ga, by klient sam uwie rzy tel niał się tyl ko na początku, ale 
wysyła wywołania w regularnych odstępach czasu w celu sprawdzenia, czy za 
klienta nie zo stał pod sta wio ny ktoś nie pożąda ny, na przykład przez przełączę nie 
linii te le f o nicz nych, lub czy nie wystąpił błąd kon f i gu ra cji mo de mu, kt óry spo wo do¬ 
wal, ż e de mon PPP nie za uwa żył, że ory gi nal ne połączę nie zo stało ze rwa ne, a kto in¬ 
ny wdzwo nil się na to miej sce. 

pppd prze cho wu je se kre ty dla PAP i CHAP w dwóch od dziel nych pli kach /etc/ppp/ 
pap-secrets i /etc/ppp/chap-secrets. Wpisując zdalnego hosta w jednym lub drugim 
z nich, kontrolujesz, który z tych protokołów (PAP czy CHAP) jest używany do 
u wie rzy tel nia nia się u two je go part ne ra i od wrót nie. 

Domyślnie pppd nie wy maga uwier zyte lnia nia zdał nego ho sta, ale zgo dzi się sam 
uwier zyte lnić, gdy zażąda tego zdał ny host. Po niew aż CHAP jest dużo sil niejs zym 
pro tokołem niż PAP, pppd pró buje zaw sze go używ ać, o ile to jest tyl ko mo żliwe. Je 
żeli dru ga stro na nie obsługuje CHAP, albo je żeli pppd nie może zna leźć w pli ku 
chap-secrets se krętu CHAP dla zdał nego sys temu, przełącza się na PAP. Je żeli nie ist¬ 
nieje se kret PAP dla dru giej stro ny, pppd w ogóle od maw ia uwier zyte lnie nia. W kon- 
sek wencji połączę nie jest zry wane. 

Zachowanie to możesz zmie nić na kil ka spo sobów. Gdy po dasz słowo klu czowe 
auth, pppd zażąda, by druga stro na sama się uwier zyte lniła. pppd zga dza się użyć 


„Se kret" to po pro stu okre śle nie hasła sto so wa ne w PPP. W odr óż ni eniu od haseł w Linuksie, sekretów 
PPP nie obo wiązuje ogra ni cze nie długo ści. 
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PAP lub CHAP, dop óki po siada w ba zie da nych od pow iednie se krety dru giej stro¬ 
ny. Ist nieją inne opcje po zwal ające na włączę nie lub wyłączę nie za dan ego pro tokołu 
uwier zyte lnia nia, ale nie będzie my ich tu taj opis y wać. 

Gdyby wszystkie systemy, z którymi łączysz się przez PPP, zgadzały się same 
uwier zyte lniać, po win ieneś umieś cić opcję auth w glo baln ym pli ku /etc/ppp/options 
i zde fi nio wać hasła dla ka żd ego z tych sys te mów w pli ku chap-secrets.]e żeli sys tern 
nie obsługuje CHAP, do daj dla nie go wpis w pli ku pap-secrets. Dzię ki te mu nie au to¬ 
ry zo wa ne sys temy nie podłączą się do two jego ho sta. 

Dwa na stęp ne pod roz działy oma wiają dwa pli ki sek retów PPP: pap-secrets i chap-se- 
crets. Znaj dują się one w ka ta lo gu /etc/ppp i za wie rają tr ójki klient, ser wer i hasło, po 
których opcjo nal nie na stę pu je li sta ad resów IP. In ter pre ta cja pól klienta i ser we ra 
jest różna dla CHAP i PAP i za le ży od te go, czy sa mi się uwie rzy tel nia my u part ne ra, 
czy żąda my, aby ser wer uwie rzy tel nil się u nas. 

Plik sekretów CHAP 

Gdy pppd mu si się uwie rzy tel nić na ser we rze za po mocą CHAP, prze szu ku je plik 
chap-secrets^ po szu ki wa niu wpi su, w któ rym po le klien ta jest ta kie sa mo jak lo kal na 
nazwa hosta, a pole serwera jest takie samo jak nazwa hosta zdalnego wysłana 
w wy wołaniu CHAP. Gdy wy ma ga ne jest sa mo dziel ne uwie rzy tel nie nie się part ne 
ra, ro le po pro stu się od wra cają: pppd wte dy szu ka wpi su, w któ rym po le klien ta jest 
ta kie sa mo jak na zwa ho sta zdał ne go (wysłana w od po wie dzi CHAP klien ta), a po le 
ser we ra jest ta kie sa mo jak na zwa ho sta lo kal ne go. 

Po niżej po kaz ano przykład owy plik chap-secrets dla ho sta vlager*. 

# Sekrety CHAP dla vlager.vbrew.com 

# 

# klient serwer sekret adresy 

# - 

vlager.vbrew.com c3po.lucas.com "Use The Source Lukę" vlager.vbrew.com 

c3po.lucas.com vlager.vbrew.com "arttoo! arttoo!" c3po.lucas.com 

* vlager.vbrew.com "TuXdrinksVicBitter" pub.vbrew.com 

Gdy vlager ze sta wi połączę nie PPP z c3po, ten po pro si vlageraouwierzy tel nie nie 
się przez wysłanie wy wołania CHAP .pppd na ho ścievlager spraw dzi na stęp nie plik 
chap-secrets w poszukiwaniu wpisu, w którym pole klienta ma wartość vlager. 
vbrew.com, a po le ser we ra ma war tość c3po.lucas.com, i znaj dzie pierw szy wiersz 
po ka za ny wprzykładzie. Na stęp nie na pod sta wie ciągu wy wołania ge ne ruje od po¬ 
wie dź i sekret CHAP (Use The Source Lukę) i wy syła je do c3po. 
pppd tworzy także wywołanie CHAP dla c3po, zawierające unikatowy ciąg wy¬ 
wołania i pełną na zwę do me nową ho sta, vlager.vbrew.com. Host c3po two rzy od- 
po wie dź CHAP w omó wio ny spo sób i zwra ca ją do vlagera. pppd na stęp nie wy do¬ 
bywa nazwę hosta klienta (c3po.vbrew.com) z odpowiedzi i przeszukuje plik 
chap-secrets w celu zna lezie nia wiersza za wie rające go klien ta c3po i ser wer vlager. 


Po dwó jne cu dzyslowy nie są czę ściąsekretu - mają ułatwić po prawną in ter pre ta cję białych zn akó w. 
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Dru gi wiersz pa su je, a więc pppd łączy wy wołanie CHAP i se kret arttoo ! art- 
t o o ! , szy fru je je i po rów nu je wy nik z od po wie dzią CHAP klien ta c3p o. 

Czwar te po le opcjo nal ne za wie ra ad re sy IP, które są do pusz czai ne dla klien ta o na¬ 
zwie za war tej w pierw szym po lu. Ad re sy mogą być poda ne w za pi sie licz bo wym 
lub jako nazwy hostów, które są następnie rozwiązywane przez resolver. Na 
przykład, gdyby w cza sie negocjacji IPCP, klient c3po zażądał użycia ad re su IP, 
którego nie ma na liście, żądanie zostałoby odrzucone, a sesja IPCP zakończo¬ 
na. Dla te go w po ka za nym po wy żej przykład o wym pli ku c3po może uży wać włas¬ 
nego ad re su IP. Gdy by po le ad re su było pu ste, do pusz czai ne byłyby wszyst kie ad re 
sy, a war tość za pobie gałaby w ogóle uży ciu ad re su IP w przy pad ku te go klien ta. 

Trze ci wiersz w przykład ow ym pli kuchap-secretspo zwala, aby do wolny host stwo¬ 
rzył połączę nie PPP z vlagerem, po niew aż pole klien ta lub ser wera za wiera znak *, 
kt óry pa suje dodo woln ej na zwy ho sta. Je dyn ym wy mog iem jest to, że podłączający 
się host musi znać se kret i uży w ać ad resu IP związa nego z ho stem pub.vbrew.com . 
Wpi sy z wy raż eni ami re gul arny mi w na zwie ho sta mogą po jaw ić się w do woln ym 
miej scu pli ku sek retów, po niew a żpppd zaw sze bę dzie uży w ać te go, co naj lep iej pa¬ 
suje do pary ser wer-klient. 

pppd może po trzeb ować nie co po mocy przy two rzen iu nazw hos tów. Jak wcze śniej 
wyjaśniliśmy, nazwa ho sta zdał nego jest zaw sze do stare zana przez drugą stro nę 
w wywołaniu CHAP lub w pakiecie z odpowiedzią. Nazwa hosta lokalnego jest 
uzyskiwana przez domyślne wywołanie funkcji gethostname(2). Gdybyś ustawił na¬ 
zwę sys temu na nie pełną na zwę ho sta, mu siałbyś do stare zy ćpppd ta kże na zwę do¬ 
meny, używ ając opcji domain : 

# pppd ... domain vbrew.com 

Ta klauzula dodaje nazwę domeny browaru do vlagera w przypadku wszelkich 
działań związa nych z uwier zyte lnia niem. Inne opcje mo dyf ikujące po jęc ie na zwy 
ho sta lo kalnego pppd to usehostname i name. Gdy w wier szu po lec eń po dasz lo kalny 
ad res IP, używ ając lokalny : zdalnyi lokalny w po staci nazw, a nie liczb ,pppd 
uzna je za na zwę ho sta lo kal ne go. 

Plik sekretów PAP 

Plik se kre tów PAP jest bar dzo po dob ny do pli ku CHAP. Pierw sze dwa po la zaw¬ 
sze za wie rają na zwę użyt kow ni ka i na zwę ser we ra. Trze cie po le za wie ra se kret 
PAP. Gdy zdał ny host wy syła swo je in for ma cje uwie rzy tel niając e,pppd wy ko rzy- 
stu je wpis, w któ rym po le ser we ra od po wia da na zwie lo kal ne go ho sta, a po le użyt¬ 
kownika odpowiada nazwie użytkownika wysłanej w żądaniu. Gdy musimy 
wysłać swo je re fe rencje dopart ne ra,pppd wyko rzy stu je se kret z wier sza, w któ rym 
pole użytków ni ka od po wia da na zwie lokal nego ho sta, a po leser we rana zwie ho s- 
tazdalne go. 


Na zwa ho sta jest wzię ta z wywołania CHAP. 
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Przykład owy plik se kr etów PAP może wyglądać na stęp ująco: 

# /etc/ppp/pap-secrets 

# 

# uDytkownik serwer sekret adresy 

vlager-pap c3po cresspahl vlager.vbrew.com 

c3po vlager DonaldGNUth c3po.lucas.com 

Pierwszy wiersz jest używany do uwierzytelnienia się przy komunikacji z c3po. 
Dru giopis uje, jak użytkownik c3po ma się uwier zyte lnic u nas. 

Nazwa vlager-pap w pierwszej kolumnie to nazwa użytkownika, którą wy¬ 
syłamy do c3p o. Do my śl nie ja ko na zwę użyt kow ni ka pppd przyj mu je na zwę ho sta 
lo kalnego, ale możesz po dać ta kże inną na zwę, wpi sując opcję user, a za nią na zwę. 
Przy wybieraniuwpisu z pliku pap-secrets w celu zidentyfikowanianasnahoście 
zdał ny m r pppd mu si znać na zwę ho sta zdał ne go. Po nie wa żpppd sa mo nie ma mo żli- 
wo ści się te go do wie dzieć, mu sisz wpi sać ją w wier szu po le ceń, uży wając słowa klu- 
czo we go remotename, a po nim na zwy ho sta. Aby za po mocą po wy ż sze go wpi su na 
przykład u wie rzy tel nić się na c3p o, mu si my do dać po niższą opcję do wier sza po le 
ceń pppd : 

# pppd ... remotename c3po user vlager-pap 

W czwar tym po lu pli ku se kre tów PAP (i wszyst kich ko lej nych po lach) możesz wpi¬ 
sać ad re sy IP, któ re mają pra wo ko mu ni ko wać się z da nym ho stem, po dob nie jak 
w pli ku se kre tów CH AP. Part ner bę dzie miał pra wo żądać tyl ko ad re sów z tej li sty. 
W przykładowym pliku wpis, którego c3po używa, gdy się wdzwania - wiersz, 
gdzie c3po jest klien tern - po zwa la na uży cie je go rze czy wi ste go ad re su IP i żad ne go 
innego. 

Zauważ, że PAP jest raczej słabą metodą uwierzytelniania i powinieneś używać 
CHAP, gdzie to tyl ko mo żli we. Dla te go nie będzie my dokład niej oma wia li PAP: je 
żeli chcesz go uży wać, wię cej na te mat je go funk cji znaj dziesz na stro nach podręcz¬ 
ni ka elek tro nicz ne go pppd(8). 

Debugowanie twojej konfiguracji PPP 

Domyślnie pppd za pis uje wszel kie ostrzeż enia i błędy za po mocą funk cji daemon 
pro gramu syslog. Do pli ku syslog.conf mu sisz do dać wpis, kt óry prze kier owu je ko¬ 
mun ika ty do pli ku lub na kon solę. W prze ciwn ym ra zie syslog bę dzie je po pro stu 
ignor owal. Po niżej po kaz any wpis po wod uje wysyłanie wszyst kich komuni katów 
do pli ku / var/log/ppp-log: 
daemon.* /var/log/ppp-log 

Je żeli two ja kon fi gu ra cja PPP nie działa po praw nie, po wi nie neś zaj rżeć do te go pli¬ 
ku. Jeżeli zawarte w nim komunikaty nie pomogą, możesz włączyć dodatkowe 
dębu go wa nie, uży wając opcji debug. Spo wo du je to, że pppd bę dzie za pi sy wać za war¬ 
tość wszystkich pakietów sterujących, wysłanych lub odebranych przez syslog. 
Wszystkiekomunikatybędąnastępnieprzekierowywanedofunkcji daemon. 
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I na ko nieć naj bar dziej dra stycz ny spo sób na po ra dze nie so bie z pro ble mem, czy¬ 
li włączę nie de bu go wa nia na po zio mie jądra - ro bi się to, wy wołując pppd z opcją 
kdebug. Za nią wpi su je my ar gu ment licz bo wy będący sumą na stę pujących war to ści: 
1 - ogól ne ko mu ni ka ty de bu gujące, 2 - wy pi sy wa nie za war to ści wszyst kich przy¬ 
chodzących ra mek HDLC i 4 - ste row nik wy pi su je wszyst kie wy chodzące ram ki 
HDLC. Aby prze chwy cić ko mu ni ka ty de bu gujące jądra, mu sisz uru cho mićde mo na 
syslogd, który czyta plik /proc/kmsg albo demona klogd. Oba te sposobypowodują 
prze kie rowanie ko mu nikatów de bu gujących do funkcji kernel demo nasyslog. 

Bardziejzaawansowana konfiguracjaPPP 

Choć kon fig uro wan ie PPP tak, by dzwo nić do sie ci In tern et, jest naj pow szech niej- 
szym za stos owa niem, są wś ród was tacy, kt órzy mają bar dziej za awans owa ne wy- 
mag ania. W tym pod rozd ziale omó wimy kil ka za awans owa nych kon fig ura cji mo 
żliw ych do uzys kania w PPP w Linuksie. 

Serwer PPP 

Uruc homi enie pppd jako ser wera jest je dyn ie kwe stią skon fig uro wan ia urządzę nia 
sze reg owe go tty na wy woły wan ie pppd z od pow iedni mi opcja mi, gdy zo staną odeb¬ 
rane przychodzące dane. Aby przeprowadzić taką konfigurację,można utworzyć 
specjalne konto, powiedzmy ppp, i jako powłokę logowania podać program 
wywołujący pppd z tymi opcja mi. Al tern aty wnie, je żeli chcesz ko rzys tać z uwie rzy- 
telniania PAP lub CHAP, możesz użyć programu mgetty do obsługi swojego mo¬ 
demu i wy kor zyst ać jego funk cję „ / Au toPPP /". 

Aby stwo rzyć ser wer wy kor zyst ujący me todę lo gow ania, do pli ku letc/passwd mu¬ 
sisz do dać wiersz po dobny do po kaz ane go po niż ej*: 

ppp:x:500:200:Public PPP Account:/tmp:/etc/ppp/ppplogin 

Je żeli twój sys tern obsługuje sys tern haseł shad ow, mu sisz do dać ta kże wpis do pli¬ 
ku / etc/shadow: 

ppp: ! : 10913 -.0:99999:1: : : 

Oczy wiś cie uży te przez cie bie iden ty fi ka to ry UID i GID za leżą od te go, kt óry użyt¬ 
ków nik ma być właści cie lem połączę nia i jak je utwo rzyłeś. Za po mocą po le ce nia pas- 
swd mu sisz ta kże na dać hasło wspo mnia ne mu kon tu. 

Skrypt ppplogin mógłby wyglądać tak: 

#!/bin/sh 

# ppplogin - skrypt uruchamiaj cy pppd po zalogowaniu 
mesg n 
stty -echo 

exec pppd -detach silent modem crtscts 

Pole ce niemesg wyłącza in ny m użyt kow ni kom mo żli wość za pi su do tty, na przykład 
za po mocą po le ce nia write. Po le ce nieś tty wyłącza po wta rza nie zna ków. Jest ono nie 


Narzędzia useradd lub adduser, o ile je po sia dasz, ułatwią wyko na nie za da nia. 
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zbęd ne, gdyż w prze ciw nym ra zie wszyst ko, co wy ś le dru ga stro na, bę dzie po wta- 
rzane. Najważniejszą opcją podaną w pppd jest -detach, ponieważ zapobiega 
odłączę niu pppd od kon tro lujące go tty. Gdyby śmy nie po da li tej opcji, pro gram prze 
szedłby do pra cy w tle, po wo dując za ko ńcze nie skryp tu powłoki. Na sku tek te go 
nastąpiłoby rozłączę nie li nii i utrą ta połączę nia. Opcja s ilent spra wia, że przed roz¬ 
poczęciem wys yłania, pppd cze ka na ode bra nie pa kie tu od dzwo niące go sys te mu. Ta 
opcja nie po zwa la też na po ja wie nie się w trans mi sji cza sów ocze ki wa nia, je śli sys¬ 
tem dz wo niący jest zbyt wol ny przy uru cha mia niu klien ta PPP. Opcjamo de m po wo 
du je, że pppd ste ruje li nia mi kon tro 1 ny mi mo de mu podłączo ne go do por tu sze re go- 
we go. Zaw sze po wi nie neś włączać tę opcję, gdy uży wasz pppd z mo de mem. Opcja 
crtscts włącza uzgad nia nie sprz ę to we. 

Oprócz wy mie nio nych, są też jesz cze opcje o in nym działaniu. Na przykład po dając 
auth w wier szu wy wołania pppd lub w glo bal nym pli ku opcji, możesz wy mu sic ja¬ 
kieś uwie rzy teł nie nie. Stro na podręcz ni ka elek tro nicz ne go oma wia bar dziej szcze 
gółowe opcje włącza nia i wyłącza nia po szcze gól nych pro to koło w u wie rzy teł nia nia. 

Gdybyś chciał używać demona mgetty, trzeba jedynie skonfigurować go tak, aby 
obsługiwał urządzenie sze re go we, do któ re go podłączo ny jest mo dem (szcze goły 
znaj dziesz w pod roz dzia leKonfigu rowaniedemonamget ty w roz dzia le 4), skon fi gu ro- 
wać pppd na uwie rzy teł nia nie przez PAP lub CHAP za po mocą od po wied nich opcji 
w pli ku options i wresz cie do dać do pli ku /etc/mgetty/login .config coś ta kie go: 

# Konfigurowanie mgetty do automatycznego wykrywania 

# przychodzących wywoDaD PPP i uruchomienie demona pppd do 

# obsDugi podliczenia 

# 

/AutoPPP/ - ppp /usr/sbin/pppd auth -chap +pap login 

Pierwsze pole to takie magiczne zaklęcie używane do wykrywania, czy nad - 
chodzące połączę nie jest typu PPP. Nie możesz zmie niać pi sowni tego ciągu, gdyż 
istotne są w nim duże i małe li tery. Trze cia ko lumna to na zwa użytk owni ka, który 
po jaw ia się na liś cie who, gdy ktoś się za log uje. Po zos tała czę ść wier sza to po lec enie 
do wywołania. Za pomocą takiego zapisu jak w naszym przykładzie włączamy 
uwie rzy teł nia nie PAP, wyłącza my CHAP i mów imy, że plik passwd po win ien być 
użyty do zna łez ienia uży tko wnik ów do u wier zy te lnie nia. Za pewne coś po dobn ego 
chcesz uzys kać. Pa mię taj - możesz okreś lić opcje w pli ku options lub je żeli wo lisz, 
w wier szu po lec eń. 

Oto kr ótka li sta ko lejn ych za dań do wy kon ania, je żeli chcesz uruc homić na swo im 
kom put erze wdzwa niany ser wer PPP. Spraw dź, czy ka żdy krok zo stał po prawn ie 
zre aliz owa ny, za nim przej dziesz do na stępn ego: 

1. Skonfigurowanie modemu do trybu automatycznego odpowiadania. W mo¬ 
demach kompatybilnych ze standardem Hayesa, trzeba podać komendę 
ATS0=3. Jeżeli zamierzasz uży waćdemonamgetty, nie jest to konieczne. 

2. Skonfigurowanieurządzeniaszeregowegozapomocąpoleceniageffi/, aby od po- 
wia dało na przy chodzące połączę nia. Po wszech nie sto so waną od mianąyef ty jest 
mgetty. 
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3. Roz wa że nie u wie rzy tel nia nia. Czy te klien ty będą u wie rzytelniaćsięzapomocą 
PAP, CH AP, czy lo go wa nia sys te mo we go? 

4. Skonfigurowaniepppd jako ser we ra zgod nie z tym, co na pi sa liś my w tym pod¬ 
rozdziale. 

5. Rozważenie rutingu. Czy bę dziesz mu siał udo stęp nić klien tom trasę do sie ci? 
Mo żna to zro bić za po mocą skryp tu ip-up. 

Dzwonienie nażądanie 

Je żeli ist nieje ruch IP, któ ry ma być prze syłany przez łącze, ze staw ianie połączę nia 
ze zdał nym ho stem mo żna zre aliz ować przez dzwonień ienażąda nie (ang. de mand dia- 
ling) .Jest ono naj bard ziej użyt eczne, gdy nie możesz na stałe po zos ta wić swo jej li nii 
te lef oni cznej w sta nie połączę nia z do sta wcą Internetu.Na przykład gdybyśmusiał 
płacić za roz mowy lo kalne według cza su, ta niej byłoby używ ać li nii tył ko wte dy, 
gdy jest po trzebna, i rozłączać się, gdy nie ko rzys tasz z In tern etu. 

Tra dyc yj ne roz wiąza nia w Linuksie wy kor zyst y wały po lec enie dia W, które działało 
dobrze, ale miało nie co skom plik owaną konfigura cję. Wer sje 2.3.0 i nowsze de mona 
PPP mają wbudowaną obsługę dzwonienia na żądanie i konfiguruje się ją dość 
łatwo. Aby działała, mu sisz użyć ta kże now szego jądra. Na dają się wszyst kie jądra 
nowsze niż 2.0. 

Aby skon fi gu ro wać demonowi pppd dzwo nie nie na żąda nie, wy stare zy do dać opcje 
w swo im pli ku options lub w wier szu po lec eńpppd. Po niżs za ta bela sta nowi skr óto- 
wy opis opcji związa nych z dzwo nien iem na żąda nie: 


Opcja 

Opis 

demand 

Ta opcja mówi, że łącze PPP po win no być przełączo ne do try bu 
dzwo nie nia na żąda nie. Zo sta nie utwo rzo ne urządzę nie sie cio we 

PPP, ale po le ce nie c o nne c t nie bę dzie uży wa ne, do pó ki z lo kal ne go 
ho sta nie zo sta nie wysłany da ta gram. Ta opcja jest obo wiązko wa, aby 
dzwo nie nie na żąda nie działało. 

archive-filter 

Ta opcja po zwa la ci okre ślić, któ re pa kie ty da nych są uzna wa ne za 

wyraDenie 

ak ty w ny ruch. Wszel ki ruch pa sujący do za da nej reguły bę dzie re- 
star to wał ze gar dzwo nie nia na żąda nie, a pppd bę dzie da lej cze kać, 
za nim rozłączy li nię. Skład nia fil tru zo stała za poży czo na z po le ce nia 
tcpdump. Do my śl ny filtr pa su je do wszyst kich da ta gra mów. 

holdoff n 

Ta opq'a po zwa la na okre śle nie mi ni mai ne go cza su (w se kun dach), jaki 
na le ży od cze kać przed rozłączę niem li nii, je żeli nie ma trans mi sji. Je żeli 
połączę nie nie działa, a pppd my śli, że jest ono cały czas ak tyw ne, zo sta¬ 
nie ono po now nie uru cho mio ne, kie dy upłynie czas okre ślo ny tą opcją. 
Nie do ty czy ona jed nak po now ne go połączę nia po upłynię ciu czasu 
jałowegooczekiwania. 

idle n 

Je żeli ta opcja jest skon figurowa na, pppd rozłączy li nię, gdy upłynie 
poda ny czas. Cza sy jałowe go ocze ki wa nia są okre śla ne wse kun dach. 
Ka żdy nowy pa kiet da nych ze ru je ten licz nik. 
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Pro sta kon fi gu ra cja dzwo nie nia na żąda nie mogłaby wyglądać ja koś tak: 

demand 
holdoff 60 
idle 180 

Ta kon figu ra cja po wo du je włączę nie dzwo nie nia na żąda nie, od cze ka nie 60 se kund 
przed po now nym ze sta wie niem nie uda ne go połączę nia i rozłączę nie, je żeli w ciągu 
180 se kund nie po ja wią się żad ne ak tyw ne da ne na łączu. 

Stałe połączenietelefoniczne 

Połączenie stałe ozna cza, że li nia jest cały czas w sta nie ak tyw no ści, czy li jest po dłączo- 
na do sieci. Istnie je nie wielka róż ni ca po między dzwo nie niem na żąda nie a połączę 
niem stałym. Połączę nie stałe jest au to ma tycz nie ze sta wia ne za raz po uru cho mie niu de 
mo na PPP, a gdy li nia te le fo nicz na obsługująca łącze ule gnie rozłączę niu, po dej mo we 
na jest po now na pró ba połączę nia. Połączę nie stałe gwa ran tuje, że łącze jest do stęp 
ne przez cały czas dziękiau to ma tycz nemu od twarza niu uszkodzonegopołącze nia. 

Możesz być w tej szczę śliw ej sy tua cji, że nie mu sisz płacić za roz mowy te lef oni czne. 
Być może są to roz mowy lo kalne i dla tego są dar mowę, albo są opłacone przez twoją 
fir mę. Opcja stałego połączę nia jest nie zmiern ie przy datna w ta kiej sy tua cji. Je żeli 
płacisz za swoje roz mowy, mu sisz być bar dziej ostroż ny. Je żeli płacisz za czas na 
linii, stałe z całą pewnością nie jest dla ciebie, chy ba że na praw dę mu sisz je mieć 
przez dwa dzieś cia czte ry go dżiny na dobę. Je żeli płacisz za nawiąza nie połączę nia, 
a nie za czas trwania rozmowy, musisz zabezpieczyć się przed sytuacjami,które 
mogą po wod ować, że twój mo dem bę dzie bez ko ńca nawiązywał nowe połączę nia. 
Demon pppd ma taką opcję. 

Aby uru cho mić stale połączę nie te le fo nicz ne, mu sisz dołączyć opcję pe r s i s t w jed¬ 
nym z pli ków opcji pppd. To wy starczy, aby pppd auto ma tycz nie wy woływało pole 
ce nie okre ślo ne w opcji c o n n e c t , któ reodtworzypołączeniewraziejegoze rwa nia. 
Je żeli mar twisz się o zbyt czę ste dzwo nie nie mo de mu (w przy pad ku, gdy mo dem 
lub ser wer po dru giej stro nie zo staną uszko dzo ne), możesz użyć opcjih o 1 do f f , aby 
usta wić mi ni mai ny czas, ja ki pppd mu si od cze kać przed próbą po now ne go połączę 
nia. Opcja ta nie roz wiązu je pro ble mu utrą ty pie nię dzy za połączę nia w cza sie awa¬ 
rii, ale przy najm niej re du ku je su mę. 

Ty powa kon fig ura cja mogłaby mieć ustaw ione na stęp ujące opcje związane ze sta¬ 
łym połączę niem: 

persist 
holdoff 600 

Czas ocze ki wa nia na po nowne wy bra nie nu meru jest okreś lony w se kund ach. W na¬ 
szym przykładzie pppd cze ka pełne pięć mi nut od mo mentu ze rwan ia połączę nia, 
za nim za cznie po nown ie dzwo nić. 

Stałe połączę nie te le fo nicz ne może współwystąpić z dzwo nien iem na żąda nie. Aby 
tak się stało, na le ży użyć opcji i dl e do rozłącza nia li nii, gdy jest nie akt ywna przez 
zadany okres czasu. Nie wydaje nam się, by wiele osób chciało stosować to roz¬ 
wiążą nie, ale sce nar iusz ten jest w skr ócie opis any na stro nie podręcz nika elekt roni- 
cznego pppd, gdy byś chciał go wy kor zyst ać. 




Bez pie cze ństwo jest co raz wa żniej sze za rów no dla firm, jak i osób pry wat nych. In¬ 
ter net da je wszyst kim do sko nałe na rzę dzia do roz po wszech nia nia in for ma cji o so¬ 
bie i uzy ski wa nia in for ma cji od in nych, ale rów no cze śnie nie sie ze sobą za grożę nia, 
któ rych wcze śniej nie było: prze stęp stwa kom pu te ro we, kra dzież in for ma cji i złośli¬ 
we zniszczę nia. 

Nie upraw nio ne i nie uczci we oso by, któ re uzy skują do stęp do sys te mu kom pu te ro- 
we go, mogą zgadnąć hasła czy wy ko rzy stać błędy i na tu rai ne za cho wa nie pew nych 
pro gra mów, aby założyć so bie kon to na da nym kom pu te rze. Gdy już mogą się za lo¬ 
go wać, mają do stęp do róż nych in for ma cji, na wet do wa żnych in for ma cji han dlo- 
wych, ta kich jak pla ny mar ke tin go we, szcze goły do tyczące no we go pro jek tu czy ba¬ 
zy da nych o klien tach, któ re mogą wy ko rzy stać na szko dę ich właści cie la. Uszko¬ 
dzę nie lub mo dy fi ka cja te go ty pu da nych może na ra zić na po wa żne kłopo ty fir mę. 
Najbezpieczniejszym sposobem uniknięcia takich powszechnych zagrożeń jest 
unie mo żli wie nie do stę pu do sie ci oso bom nie uprawnio nym. Z po mocą przy chodzą 
tutajfirewalle. 



Stwo rze nie bez piecz nych fi re wal li jest sztuką. Wy ma ga do bre go zro zu mie nia tech no- 
lo gii, ale co rów nie wa żne, wy ma ga zro zu mie nia fi lo zo fii się gającej poza ich kon struk- 
cję. Nie będziemy tu opisywali wszystkiego, co musisz wiedzieć. Radzimy, byś 
wykonałpewnedodatkowebadania,zanimzaufaszjakiejśszczególnejarchitekturzefi- 
re wal la, rów nież tej, którą tu taj po ka zu je my. 


Ist nie je wy star czająco du żo ma te riału na te mat kon fi gu ra cji i bu do wy fi re wal la, by 
wy pełnić nim całą książkę; do na praw dę do sko nałych żró deł na leżą mię dzy in ny mi: 

Build ingln tern etFirewalls 

au tors twa D. Cha pmana i E. Zwie ky (0'Re illy; wyd. poi skie nakładem Wy daw¬ 
nie twa RM - w przy go to wa niu). Podręcznik wy jaś niający, jak utwo rzyć i za ins¬ 
talować firewalle w Uniksie, Linuksie i Windows NT oraz jak skonfigurować 
usługi in tern eto we do pra cy z fi rew alla mi. 
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Firewallsandln tern et Security 

autorstwa W. Cheswicka i S. Bellovina (wyd. Addison Wesley). Ta książka 
omaw ia fi loz ofiębu dowy i im plem enta cjifi rew alli. 

W tym rozdziale skupimy się na zagadnieniach technicznych, specyficznych dla 
Linuksa. Później pokażemy przykładową konfigurację firewalla, która powinna 
służyć ja ko uży tęcz ny punkt wy jś cia do własnej kon fi gu ra cji, ale jak to by wa w za¬ 
gadnieniach bezpieczeństwa, nigdy nikomu nie ufaj. Dwa razy sprawdź projekt, 
upew nij się, że go ro zu miesz, a na stęp nie zmo dy fi kuj tak, aby pa so wał do two ich 
po trzeb. Pewność to bez pie cze ństwo. 

Metody ataku 

Dla ad mi ni stra to ra sie ci wa żne jest, by ro zu miał isto tę po ten cjal nych ata ków za gra- 
żających bezpieczeństwu komputera. Pokrótce opiszemy najważniejsze typy ata¬ 
ków, tak byś le piej zro zu miał, przed czym chro ni cię fi re wali IP w Linuksie. Aby być 
pew nym, że je steś w sta nie za bez pie czyć swoją sieć przed in ny mi ty pa mi ata ków, 
po wi nie neś się gnąć po do dat ko wą lek tu rę. Oto naj wa żniej sze me to dy ata ku i spo so- 
by za bez pie cza nia się przed ni mi: 

Nieautoryzowany dostęp 

Oznac za po pro stu, że lu dzie, kt órzy nie po winni ko rzys tać z usług ofer owa nych 
przez twój kom put er, są w sta nie się do nie go podłączyć i z nich ko rzys tać. Na 
przykład lu dzie spo za fir my mogą pró bować połączyć się z kom put erem obsłu¬ 
gującym księ gow ość two jej fir my lub z two im ser wer em NFS. 

Istnieją różne sposoby uniknięcia tego ataku. Trzeba precyzyjnie określić, kto 
może mieć do stęp do danych usług. Możesz za bro nić do stę pu do sie ci wszyst kim 
poza wy zna czo ny mi przez cie bie oso ba mi. 

Wy korzystanie zna nych dziur w program ach 

Wcza sach kie dy po wsta wały nie któ re pro gra my i usługi sie cio we, nie uwzględ¬ 
nia no jeszcze rygory sty cz nych za sad bezpieczeństwa. Te właśnie są zna tu ry bar¬ 
dziej po dat ne na za grożę nia. Usługi zdał ne BSD (rlo gin, rexec itp.) są tu do sko- 
nałym przykładem. 

Naj lep szym spo so bem na za bez pie cze nie się przed tego typu ata kiem jest wy¬ 
łączę nie wszel kich po dat nych usług lub zna le zie nie al ter na ty wy. W przy pad ku 
Open So ur ce cza sem mo żli we jest załata nie dziu ry w pro gra mie. 

Od mowa obsługi 

Ata ki typu od mo wa obsługi po wo dują, że usługa lub pro gram prze stają działać 
lub nie pozwalają innym z siebie korzystać. Może to być spowodowane wy¬ 
syłaniem w war stwie sie cio wej sta ran nie przy go to wa nych, złośli wych da ta gra¬ 
mów, któ re po wo dują awa rie połączeń sie cio wych. Ata ki mogą być też re ali zo- 
wane w warstwie aplikacji, gdzie starannie przygotowane polecenia aplikacji 
podane pro gra mówi po wo dują, że sta je się on nad zwy czaj za ję ty lub prze sta je 
działać. 



Co to jest fi re wali 


149 


Uniemożliwienie podejrzanym pakietomsieciowym dotarciadotwojegohosta 
orazzapobie gnię cieuruchamianiupodejrza nych poleceńiżądańsą naj lepszymi 
spo so ba mi na zmi ni ma li zo wa nie ry zy ka ata ku od mo wy obsługi. War to do brze 
znać me to dy ata ku, a więc po wi nie neś sam do kształcąc się na te mat wszyst kich 
no wych at aków, gdy ich opis zo sta nie opu bli ko wa ny. 

Podszywanie się 

Ten typ ataku powoduje, że host lub aplikacja naśladują działanie innego. 
Zwykle ata kujący uda je nie win ny host, prze syłając sfałszo wa ne ad re sy IP w pa kie 
tach siecio wych. Na przykład dobrze udo ku men to wa ny spo sób wy ko rzy sta nia 
usługi rlo gin BSD sto su je tę me to dę do uda wa nia połączę nia TCP z inne go ho sta. 
Robi to, od ga dując nu me ry ko lej nych pa kie tów TCP. 

Aby za bez pie czyć się przed tego typu ata kiem, we ry fi kuj wia ry god ność dat ag- 
ramów i poleceń. Wyłącz możliwość rutowania datagramów o złym adresie 
źródłowym. Wpro wa dź nie prze wi dy wal ność do me cha nizmu kon tro li połączę 
nia, na przykład sto so wa nie ko lej nych nu mer ów TCP lub alo ka cję dy na micz nych 
adresówportów. 

Podsłuchiwanie 

Jest to naj prosts zy typ ataku. Host jest skon fig uro wany na „ słuchan ie" i zbie ran ie 
danych nie należących do niego. Dobrze napisane programy podsłuchujące 
mogą odczytać z połączeń sieciowych nazwy użytkowników i hasła. Sieci 
rozgłosznio we, ta kie jak Et hern et, są sz czeg ólnie po datne na tego typu atak. 

Le piej więc uni kaj roz wiązań opar tych o sie ci rozgłoszę nio we i wpro wa dzaj szy¬ 
frowa nie da nych. 

Fi re wal le IP są bar dzo uży tęcz ne; są w sta nie za po biec nie au to ry zo wa ny m do stę¬ 
pom, od mo wom obsługi w war stwie sie cio wej i ata kom przez pod szy wa nie się lub 
znacz nie zmniej szyć ry zy ko ich wystąpię nia. Nie zbyt do brze za bez pie czają przed 
wy ko rzy sty wa niem dziur w usłu gach sie cio wych czy pro gra mach oraz nie za pobie 
gająpodsłuchiwaniu. 

Co to jest firewall 

Firewalltobezpiecznyizaufanykomputer, któ ryjestumieszczonypomiędzysiecią 
prywatną a siecią publiczną*. Komputer-firewall jest skonfigurowany w oparciu 
o ze staw re gul, któ re okre ślają, ja ki ruch sie cio wy może być prze pusz czo ny, a ja ki 
ma być blokowany lub od rzu ca ny. W nie któ rych du żych fir mach możesz zna le źć 
na wet fi re wal le umiesz czo ne we wnątrz sie ci fir mo wej, któ re od dzie łają wa żne ob¬ 
szary fir my od innych pracowników. Wie le prze stęp stw kom pu tero wych zdarza się 
we wnątrz fir my, a nie jest po wo do wa ne ata ka mi z ze wnątrz. 

Fi re wal le mo żna bu do wać na róż ne spo so by. Naj bar dziej wy ra fi no wa ne kon struk 
cje wy ko rzy stują kil ka od dziel nych kom pu te rów i są zna ne pod nazwąsie ci wy dzie- 


* Określenie firewalKang.) zo stało prze ję te od urządzę nia uży wa ne go do za bez pie cza nia lu dzi przed 
ogniem. Fi re wali to osłona z ognio od por ne go ma terialu umiesz cza na pomię dzy miej scem zagrożonym 
po żarem a człowie kiem, któr ego ma chro nić. 
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lonej (ang. perimeternetwork). Dwie ma szy ny działają ja ko „fil try" po zwa łające tył ko 
na prze pusz cza nie pew nych ty pów ru chu sie cio we go. Po mię dzy ty mi ma szy na mi 
znaj dują się ser we ry sie cio we, ta kie jak ga te way pocz to wy czy ser wer proxy WWW. 
Konfiguracja taka może być bardzo bezpieczna i łatwo pozwala na osiągnięcie 
znacz nej kon tro li nad tym, kto łączy się za rów no z ze wnątrz do we wnątrz, jak i z we 
wnątrz na zewnątrz. Tego typu konfiguracja może być stosowana w dużych fir¬ 
mach. 

Zwy kle jed nak fi rew alle to po jed yncze ma szyny pełniące wszyst kie te funk cje. Są 
one nieco mniej bezpieczne, ponieważ jeżeli w maszynie pełniącej rolę firewalla 
znaj dzie się dziu ra, która po zwala na uzys kanie do stępu do niej, to bez piec zeńs two 
całej sieci zostaje naruszone. Jednak tego typu firewalle są tańsze i prostsze 
wzarządzaniuniżopisane wcze śniej, bar dzie j wy raf ino wane roz wiąza nia. Ry sun ek 
9-1 po kaz uje dwie naj pop ula rnie jsze kon fig ura cje fi re walla. 



Rysunek9-1.Dwiepodstawowearchitekturyfi rewalli 


Jądro Linuk sa udo stęp nia sze reg wbu do wa nych funk cji po zwa łających mu na pra cę 
w ro lifi re wal la IP. Im ple men ta cja sie ci za wie ra kod do wy ko ny wa nia fil tro wa nia IP 
na szereg różnych sposobów i udostępnia mechanizm pozwalający na dokładne 
skon fi gu ro wa nie za sad, ja ki mi chcesz się kie ro wać przy ta kim fil tro wa niu.Firewall 
w Linuksie jest wy star czająco ela stycz ny, by mo żna go było za sto so wać w obu kon¬ 
figuracjach pokazanych na rysunku 9-1. Oprogramowanie firewalla w Linuksie 
udostępnia dwie inne przydatne funkcje, które omówimy w oddzielnych roz¬ 
działach : li cze nie ru chu IP (roz dział 10, Liczę nie ru chu IP) i ma sko wa nie IP (roz dział 
11, Ma sko wa nie IP itransla cja ad resów sie cio wych). 
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Co to jest filtrowanie IP 

Fil tro wa nie IP to pro sty me cha nizm de cy dujący o tym, które ty py da tagramów IP 
mają być przetwarzane normalnie, a które mają być odrzucone. Przez odrzucenie 
(ang. dis car d) ro zu mie my, że da ta gra my są usu wa ne i zu pełnie igno ro wa ne, tak jak¬ 
by nigdy nie zostały odebrane. Możesz wskazać wiele różnych kryteriów okre¬ 
ślających, które da ta gra my chcesz fil tro wać. Oto kil ka przykładów: 

• typ pro tokołu: TCP, UDP, ICMP itp.; 

• nu mer gniazda (dla TCP/UDP); 

• typ da tag ramu: SYN/ ACK, dane, ICMP Echo Requ est itp.; 

• ad res źródłowy da tag ramu: skąd po cho dzi; 

• ad res do cel owy da tag ramu: dokąd jest wysyłany; 

Wa żne jest zro zu mie nie w tym miej scu, że fil tro wa nie IP jest funk cją war stwy sie cio- 
wej. Ozna cza to, że nie ma ono nic współ ne go z apli ka cją wy ko rzy stującą po łącze nia 
sie cio we, a do ty czy tyl ko sa mych połączeń. Na przykład możesz za bro nić użyt kow- 
ni kom do stę pu do swojej sie ci we w nętrz nej przez stan dar do wy port tel net, ale je żeli 
opie rasz się na sa mym fil tro wa niu IP, nie możesz spo wo do wać, że by prze sta li uży¬ 
wać programu telnet na porcie, który przepuszczasz przez swój firewall. Aby 
uniknąć tego typu problemów, zastosuj serwery proxy dla każdej usługi, którą 
chcesz przepuścić przez firewall. Serwery proxy rozumiejąaplikacje, dla których 
mają pełnić rolę pośredników i w ten sposób mogą zapobiec nadużyciom, pole 
gającym na przykład na wy ko rzy sty wa niu tel ne tu do połączę nia z por tern WWW 
po przez fi re wal 1. Je żeli twój fi re wali obsługu je WWW proxy, połączę nia tel net do tej 
usługi będą zawsze obsługiwane przez proxy i dopuszczalne będą tyl ko żąda nia 
HTTP. Ist nie je sze reg pro gra mów ty pu ser wer proxy. Nie któ re są dar mo we, ale jest 
też wie le ko mer cyj nych. Firewall-HOWTO oma wia je den z po pu lar nych ze sta wów 
ta kich pro gra mów, któ re go tu nie przed sta wia my, po nie waż wy kra cza to po za za¬ 
kres tej książki. 

Ze staw re gul fil trow ania IP składa się z wie lu kom bi na cji wy mie nio nych powyżej 
kryteriów. Na przykład wyobraźmy sobie, że chciałbyś pozwolić użytkownikom 
WWW z sie ci bro waru wir tua lne go na do stęp do In tern etu, ale tyl ko na ko rzys tanie 
z in nych se rwerów WWW. Mu siałbyś skon fig uro wać fi rew all, tak by po zwalał na 
przekazywanie: 

• data gra mów z ad res em źródłowym z sie ci bro waru wir tua lne go i do woln ym ad¬ 
res em do cel owym oraz z por tern do cel owym 80 (WWW), 

• da tag ram ów z ad res em do cel owym bro waru wir tua lne go i por tern źródłowym 80 
(WWW) z do woln ego ad resu źródłowego. 

Za uważ, że użył iśmy tu taj dw óch re gul. Po zwal amy na wy chód zenie na szych da¬ 
nych oraz na przyj mow anie od pow iedzi. W prak tyce, jak wkrótce zo bac zymy, Li- 
nux upraszc za to i po zwala na okreś lenie tych re gul jed nym po lec eni em. 
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Skonfigurowanie Linuksa w roli firewalla 

Aby stwo rzyć fi re wali IP w Linuksie, po trzeb ne jest jądro z wbu do waną obsługą fi- 
re wal la IPi od po wied ni pro gram konf i gu ra cyj ny. We wszyst kich jądrach do se rii 2.0 
uży wa się na rzę dzia ipfwadm. Jądra 2.2.x wpro wa dziły trze cią ge ne ra cję fire wal la IP 
dla Linuk sa o na zwie IP Cha ins (łańcu chy IP). Łańcu chy IP uży wają pro gra mu po- 
dobnegodo ipfwadm, ale noszące go na zwę ipchains. Jądra w wer sji 2.3.15 i now sze 
obsługują czwartą ge ne ra cję fi re wal li o na zwi enetfilter. Kod netfilter jest wy ni kiem 
po wa żnej zmia ny w spo so bie obsługi pa kie tów w Linuksi e.netfilter jest two rem uni¬ 
wersalnym, zapewnia bowiem bezpośrednio wsteczną kompatybilność zarówno 
z ipfwadm, jak i ipchains oraz no we alternatywne po lecenie iptables. W następnych 
pod roz działach omó wi my róż ni ce po mię dzy ty mi trze ma roz wiąza nia mi. 

Jądro skon fi gu ro wa nezfi rewal lem IP 

Jądro Linuksa trzeba odpowiednio skonfigurować, aby obsługiwało firewall IP. 
Ozna cza to po pro stu wy bór od po wied nich opcji po wy wołaniu make menuconfig 
przy kom pi la cji jądra*. Jak to zro bić, opi sa liś my w roz dzia le 3 ,Konfigu rowa niesprzę- 
tusieciowego. W jądrach 2.2 po wi nie neś wybrać na stę pujące opcje: 

Networking options -> 

[*] Network firewalls 

[*] TCP/IP networking 

[*] IP: firewalling 

[*] IP: firewall packet logging 

W jądrach 2.4.0 i now szych po win ieneś wy brać po niżs ze opcje: 

Networking options -> 

[*] Network packet filtering (replaces ipchains) 

IP: Netfilter Configuration ? 

<M> Userspace ąueueing via NETLINK (EXPERIMENTAL) 

<M> IP tables support (reąuired for filtering/masq/NAT) 

<M> limit match support 

<M> MAC address match support 

<M> netfilter MARK match support 

<M> Multiple port match support 

<M> TOS match support 

<M> Connection State match support 

<M> Unclean match support (EXPERIMENTAL) 

<M> Owner match support (EXPERIMENTAL) 

<M> Packet filtering 

<M> REJECT target support 

<M> MIRROR target support (EXPERIMENTAL) 

<M> Packet mangling 

<M> TOS target support 

<M> MARK target support 

<M> LOG target support 

<M> ipchains (2.2-style) support 

<M> ipfwadm (2.0-style) support 


Lo go wa nie pa ki et ów przez fi re wal 1 jest spe qalną funk cją, która za pi su je wiersz in fo r ma q‘i o ka żdym 
da ta gra mie od po wia dającym re gu le do spe cjal ne go urządzę nia, przez które możesz go zobaczyć. 
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Narzędzieipfwadm 

Narzędzie ipfwadm (IPFirewall Administration) jest używ ane do two rzen ia re guł fi- 
rew alla dla wszyst kich jąder star szych od wer sji 2.2.0. Skład nia po lec enia by wa za- 
gmat wana, po niew aż może ono re aliz ować wie le skom plik owa nych za dań, ale po¬ 
damy kilka przykładówpo pul arny ch za sto so wań. 

Narzędzie ipfwadm]est za war te w wię k szo ści współcze snych dys try bu cji Linuk sa, 
ale nie ko niecz nie stan dar do wo .Mogąistniećszczególnepakietyoprogramowania, 
któ re mu sisz za in sta lo wać, aby mieć to po le ce nie. Je żeli nie ma go w two jej dys try¬ 
bu cji, możesz zdo być pa kiet źródłowy z ośrod ka ftp.xos.nl z katalogu /pub/linux/ 
ipfwad mli skom piło wać gosamodziel nie. 

Narzędzieipchains 

Po dob nie jak ipfwadm, tak ipchains może spra wić na początku nie co kłopo tów. Udo- 
stęp nia całą ela stycz ność ipfwadm , ale za po mocą po le ceń o znacz nie uprosz czo nej 
składni, a ponadtooferuje mechanizm „łącze nia w łańcu chy" (ang. chaining), po¬ 
zwalający na zarządza nie wie lo ma ze sta wa mi re guł i ich łącze nie. Łącze nie re guł 
om ówimy w od dziel nym pod roz dzia le pod ko nieć te go roz działu, po nie waż jest to 
pojęciezaawansowane. 

Po le ce nieipchains ist nie je w wię k szo ści dys try bu cji Linuk sa opar tych na jądrach 2.2. 
Gdy byś chciał skom pi lo wać je sa mo dziel nie, możesz zna le źć pa kiet źr odłowy pod 
adresem:http://www.rustcorp.com/linux/ipchains/. W pakiecie tym znajduje się dodat- 
ko wy skrypt ipfwadm-wrapper, który na śla du je po le ce nie ipfwadm , ale w rze czy wi sto ści 
wywołuje polecenie ipchains. Migracja istniejącej konfiguracji firewalla jest dużo 
mniej bo le sna, je żeli po sia da się ta ki skrypt. 

Narzędzieiptables 

Składnia narzędzia iptables jest bardzo podobna do ipchains. Różnice wynikają 
z wpro wad zony ch udo sko na leń i dają prze pro jek to wa ne na rzę dzie, kt óre jest roz- 
szerzalneprzezbibliotekidzielone.Takjakwprzypadkuipc/zawzs, tak i przy iptables 
po da my skon wer to wa ne przykłady, abyś mógł por ównać i ze sta wić skład nię te go 
i in nych po le ceń. 

Narzędzie iptables znaj duje się w pa kiec ienetfilter, który jest do stępny pod ad res em 
http://www.samba.org/netfilter/. Będzie także zawarte we wszystkich dystrybucjach 
Linuk sa opart ych o jądra se rii 2.4. 

Nie co wię cej o netfilter po wiemy w jed ny m z na stępn ych pod rozd ziałów po święć o- 
ny ch tyl ko te mu pa kiet owi. 
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Trzy sposoby realizacjifiltrowania 

Roz wa żmy, w ja ki spo sób ma szy na unik so wa, czy w prak ty ce do wol na in na obsłu¬ 
gująca ru ting IP, prze twa rza da ta gra my IP. 



Ry su n ek9-2. Eta py prze twar zania da tag ram u IP 

Pod sta wo we kro ki, po ka za ne na ry sun ku 9-2, to: 

• Da ta gramlP jest odbierany (1). 

• Przy chodzący da ta gram IP jest ana li zo wa ny w celu usta le nia, czy jest prze zna czo- 
ny dla tej ma szy ny. 

• Je żeli da tag ram jest dla tej ma szyny, jest prze twar zany lo kaln ie (2). 

• Je żeli nie jest dla tej ma szyny, w ta blicy ru tingu jest po szuk iwa na od pow iednia 
tr a sa. Da tag ram jest prze kaz y wa ny do od pow iedni ego in terf ejsu lub od rzuć any, 
je żeli tra sy nie mo żna zna leźć (3). 

• Datagramy z lokalnych procesów są wysyłane do oprogramowania rutującego 
w celu prze kaz ania do od pow iedni ego in terf ejsu (4). 

• Wy chodzący da tag ram IP jest anal izo wany w celu ustal enia, czy ist nieje dla nie go 
od pow iednia tra sa; je żeli nie, jest od rzuć any. 

• Da tag ram IP jest wysyłany (5). 

W naszym diagramie, przepływ 1—>3—>5 przedstawia maszynę rutującą dane po¬ 
między hostem w naszej sieci Ethernet a hostem osiągalnym przez łącze PPP. 
Przepływ 1 —>2 i 4 —>5 przed sta wia da ne przy chodzące i wy chodzące z pro gra mu sie 
ciowego działające go na na szym ho ście lo kal nym. Przepływ 4—13—>2 przed sta wia 
przepływ danych przez połączenie pętli zwrotnej. Oczywiście dane przepływają 
w obie stro ny, do i z urządzeń sie cio wych. Znak za py ta nia na dia gra mie przed sta¬ 
wia punk ty, gdzie war stwa IP po dej mu je de cy zje co do ru tin gu. 

Fi re wali jądra Linuk sa może sto so wać fil try na róż nych eta pach te go pro ce su. To 
zna czy, że możesz fil tro wać da ta gra my IP przy chodzące do two jej ma szy ny, al bo te 
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datagramy, które są przez nią przekazywane, albo też te, które są gotowe do 
wysłania. 

Wpro gram ach ipfwadm i ipchains reguła wejściowa (In put) do tyczy przepływu 1 na 
dia gram ie, re guła prze kaz y wa nia (For ward ing) - przepływu 3, a re guła wy jśc iowa 
(Outp ut) - przepływu 5. Zo bac zymy pó źni ej, przy omaw ianiu netfilter, że punk ty 
prze chwyt ywa nia zmie niły się tak, że re guła we jśc iowa do tyc zy przepływu 2, a re 
guła wy jśc iowa - przepływu 4. Ma to istotny wpływ na two rzen ie re guł, ale ogólne 
za sady po zos tają ta kie sa me dla wszyst kich wer sji fi rew alla w Linuksie. 

Na pierw szy rzut oka może to wyglądać na nie pot rzebną kom plik ację, ale za pewn ia 
elastyczność, która pozwala na tworzenie bardzo wyrafinowanych i wydajnych 
konfiguracji. 

Oryginalny fi re wali IP (jądra 2.0) 

Pierw sza generacja obsługi firewalla IP w Linuksie pojawiła się w serii jąder 1.1. 
Było to prze nie sie nie ipfw z BSD do ko na ne przez Ala na Coxa. Obsługa fi re wal la 
w jądrach se rii 2.0, okre śla na mia nem dru giej ge ne ra cji, zo stała roz sze rzo na przez 
JosaVos,PaulineMidde link i in nych. 

Korzy staniezipfwadm 

Po le ce ni eipfwadm było na rzędziem kon f i gu ra cyj ny m dla dru giej ge ne ra cji fi re wal la 
IP w Linuksie. Naj le piej jest opi sać uży cie łpfwadm na przykładach. Na początek za- 
ko duj my po ka za ny wcze śniej przykład. 

Pro sty przykład 

Załóżmy, że ma my w na szej fir mie sieć i uży wa my fi re wal la na kom pu te rze z Linuk- 
sem, przez który łączy my naszą sieć z In ter ne tern. Przyj mij my też, że chce my, aby 
użyt kow ni cy sie ci mie li do stęp do serwerów WWW w In ter ne cie, ale nie do pusz cza- 
myżadnegoinnegoruchu. 

Zdefiniujemy regułęprzekazywania pozwalającą na przepuszczanie na zewnątrz 
datagramów o ad res ie źr ódłowym na leżącym do na szej sie ci i gnie ździe do cel owym 
80 oraz na prze kaz ywa nie przez fi rew all od po wie dzi prze syłanych z po wrót em. 

Załóżmy, że nasza sieć ma 24-bitową maskę (klasa C) i adres 172.16.1.0. Reguły 
wyglądają tak: 

# ipfwadm -F -f 

# ipfwadm -F -p deny 

# ipfwadm -F -a accept -P tcp -S 172.16.1.0/24 -D 0/0 80 

# ipfwadm -F -a accept -P tcp -S 0/0 80 -D 172.16.1.0/24 

Argument wiersza poleceń -F mówi ipfwadm, że jest to reguła przekazywania. 
Pierwsze polecenie mówi ipfwadm, aby usunął wszystkie dotychczasowe reguły 
prze kaz ywa nia ze swo jej kon fig ura cji. W ten sp os ób roz po czy namy od zna nego sta¬ 
nu. 
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Dru ga re guła okre śla do my ślną po li ty kę prze ka zy wa nia. Mó wi my jądru, by od rzu¬ 
cało lub nie po zwa lało na prze ka zy wa nie da ta gra mów IP. Bar dzo wa żne jest usta¬ 
wie nie po li ty ki do my śl nej, po nie waż opi su je ona, co się sta nie z da ta gra ma mi, któ r e 
nie są w ża den szcze gól ny spo sób obsługi wa ne przez in ne re guły. Zwy kle kon fi gu- 
rując fi re wali, bę dziesz usta wiał do my ślną po li ty kę na „od mo wę", tak jak to po ka- 
za no tu taj, po to, aby przez fi re wal la prze cho dził tyl ko do pusz czai ny ruch. 

Trze cia i cz war ta re guła im ple men tują na sze wy ma ga nie: - tr ze cie po le ce nie po zwa la 
na wy syłanie na szych da tagramów, a czwar te - na przyj mo wa nie od po wie dzi. 

Przyj rżyjmy się ko lej no ar gu mentom: 

-F 

Jest to reguła prze ka żująca. 

-a ac cept 

Reguła z do pi saną po li tyką „ ak cep to wa nia" oznacza,żebędziemyprzekazy wać 
wszyst kie da ta gra my, kt óre do niej pa sują. 

-P tcp 

Ta reguła do ty czy da ta gramów tcp (w prze ci wie ństwie do UDP lub ICMP). 

-S 172.16.1.0/24 

Adres źródłowy musi mieć pierwsze 24 bity odpowiadające adresowi sieci 
172.16.1.0. 

-D 0/0 80 

Ad res do cel owy musi mieć zerobi tów pa sujących do ad resu 0.0.0.0. Tak na prawdę 
jest to sk roto wy za pis „wszyst kiego". Port do cel owy to 80, co w tym przy padku 
oznacza WWW. Do opis ania por tu możesz użyć ta kże wszel kich wpisów znaj¬ 
dujących się w pli ku /etc/sewices, a więc - D 0/0 www działałoby ró wnie do brze. 

ipfwadm wy ma ga ma ski sie ci w po sta ci, kt óra może nie być ci zna na. Za pis / nn ozna¬ 
cza licz bę istot nych bitów w poda nym ad re sie lub roz miar ma ski. Bi ty są zaw sze li- 
czo ne od le wej do pra wej. W ta be li 9-1 poda no czę sto spo ty ka ne przykłady masek. 

Ta bela 9-1. Czę sto spo tykane ma ski sieci 


Maskasieci 

Bity 

255.0.0.0 

8 

255.255.0.0 

16 

255.255.255.0 

24 

255.255.255.128 

25 

255.255.255.192 

26 

255.255.255.224 

27 

255.255.255.240 

28 

255.255.255.248 

29 

255.255.255.252 

30 
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Wcze śniej wspo mniel iśmy, że ipfwadm im plem entu je małą sztucz kę, która ułatwia 
do daw anie te go ty pu re guł. Ta sztucz ka to opcja-b, która spra wia, że po lec enie jest 
d wukierunkowe. 

Opcja dwu kier unko woś ci po zwala na połączę nie na szych dw óch re guł w jedną: 

# ipfwadm -F -a accept -P tcp -S 172.16.1.0/24 -D 0/0 80 -b 

Ważna poprawka 

Przyj rżyj się bliż ej na sze mu ze sta wo wi re guł. Czy wi dzisz, że wciąż nie ma za bez- 
pie cze nia przed jed ną me todą ata ku, którą ktoś z ze wnątrz może wy ko rzy stać do 
pokonanianaszegofirewalla? 

Nasze reguły pozwalają na przyjmowanie z zewnątrz wszystkich datagramów 
z por tern źródłowym 80. Uwa ga! Będą do nich na le żały ta kże da ta gra my z usta wio- 
nym bi tern SYN! Bit SYN ozna cza, że jest to da ta gram TCP z żąda niem połączę nia. 
Jeżeli osoba z zewnątrz miałaby uprzywilejowany dostęp do swojego hosta, 
mogłaby połączyć się przez nasz fi re wali z do wol nym z na szych ho stów, pod wa¬ 
ran kiem, że uży wają one por tu 80. Nie to chcie liś my osiągnąć. 

Na szczęście istnieje rozwiązanie te go problemu. Po lec enie ipfioadm posiada inną 
opcję, która po zwala nam bu dow ać re guły od fil trowujące da tag ramy z ustaw ionym 
bi tern SYN. Zmie ńmy nasz przykład tak, aby uwzględn iał tę re gułę: 

# ipfwadm -F -a deny -P tcp -S 0/0 80 -D 172.16.10.0/24 -y 

# ipfwadm -F -a accept -P tcp -S 172.16.1.0/24 -D 0/0 80 -b 

Opcja -y po wo du je, że re guła pa su je tył ko wte dy, je żeli bit SYN w da ta gra mie jest 
usta wio ny. A więc na sza no wa re guła mó wi: „Nie prze pusz czaj żad nych da ta gra¬ 
mów TCP prze zna czo nych dla na szej sie ci, któ re po chodzą z ja kie goś miej sca i mają 
port źródłowy 80 i usta wio ny bit SYN" al bo „Nie prze pusz czaj żad nych żądań od 
ho stów na port 80". 

Dla czego umieś ciii śmy tę szczególną re gułę przed re gulą główną? Re guły fi rew alla 
działają tak, że są dopasowywane kolejno. Obie reguły będą pasowały do 
datagramów, których nie chce my prze puś cić, a więc mu simy być pew ni, że re guła 
deny jest przed re gułą accept. 

Li sto wa nie na szych reguł 

Po wpro wa dze niu na szych re guł możemy je wy li sto wać, wy wołując ipfwadm w na- 
stę pujący sposób: 

# ipfwadm -F -1 

To po lec enie da w wy niku wszyst kie skon fig uro wane re guły prze kaz ywa nia. Re 
zult at po win ienbyć po dobny do te go: 

# ipfwadm -F -1 

IP firewall forward rules, default policy: accept 


type 

prot 

source 

destination 

ports 

deny 

tcp 

anywhere 

172.16.10.0/24 

www -> any 

acc 

tcp 

172.16.1.0/24 

anywhere 

any -> www 
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Po lec enie ipfwadm bę dzie pr óbowało tlumac zyć nu mer por tu na na zwę usługi za po¬ 
mocą pli ku /etc/services, o ile ist nieje w nim wpis. 

W domyślnie pokazywanym wy ni ku braku je kil ku ważnych dla nas szczegółów. 
Nie wi dać tam mia no wi cie działania ar gu men tu - y. Po le ce nie ipfwadm po tra fi po ka¬ 
zać dokład niej szy wy nik, je żeli po da my ta kże opcję -e (wy nik roz sze rzo ny). Nie 
po ka żerny całego wy ni ku, po nie waż jest zbyt sze ro ki i nie mie ści się na stro nie, ale 
za wie ra ko lum nę op t (opcje), któ ra po ka zu je opcję -y kon tro lującą pa kie ty SYN: 

# ipfwadm -F -1 -e 

IP firewall forward rules, default policy: accept 
pkts bytes type prot opt tosa tosx ifname ifaddress source 

0 0 deny tcp —y- OxFF 0x00 any any anywhere 

0 0 acc tcp b- 0xFF 0x00 any any 172.16.1.0/24 ... 

Bardziej skom pl i ko wa ny przykład 

Po przed ni przykład był pro sty. Nie wszyst kie usługi sie cio we są tak łatwe do skort- 
figu ro wania jak WWW. Wrzeczy wistości ty po wakonfigura cjafire wal labę dzie du¬ 
żo bar dziej złożona. Przyj rżyj my się in ne mu po wszech nie spo ty ka ne mu przykłado¬ 
wi, ty m ra zem FTP. Chce my, aby użyt kow ni cy na szej we w nętrz nej sie ci mo gli lo go- 
wać się do ser we rów FTP w In ter ne cie po to, by od czy ty wać i za pi sy wać pli ki. Nie 
chce my jed nak, aby lu dzie z In ter ne tu lo go wa li się do na szych ser we rów FTP. 

Wie my, że FTP używa dwóch port ów TCP: por tu 20 (ftp-da ta) i por tu 21 (ftp), a więc: 

# ipfwadm -a deny -P tcp -S 0/0 20 -D 172.16.1.0/24 -y 

# ipfwadm -a accept -P tcp -S 172.16.1.0/24 -D 0/0 20 -b 

# 

# ipfwadm -a deny -P tcp -S 0/0 21 -D 172.16.1.0/24 -y 

# ipfwadm -a accept -P tcp -S 172.16.1.0/24 -D 0/0 21 -b 

Do brze? Nie całkiem. Ser wery FTP mogą działać w dwóch różnych try bach: w try bie 
bier nym (ang. passiuemode ) i czyn nym (ang. actwemode)*. W trybie bier nym ser wer 
FTP oczek uje na połączę nie od klien ta. W try bie czyn nym ser wer re aliz uje połączę 
nie do klien ta. Tryb czyn ny jest zwy kle do myś lny. Ró żni ce iluś truje ry sun ek 9-3. 

Wie le ser werów FTP działających w try bie czyn nym two rzy połączę nie z por tu 20, 
co nie co upraszc za spra wę, ale nie stety nie wszyst kie tak ro bią**. 

Ja kie to ma jed nak dla nas zna czen ie? Przyj rżyjmy się na szej re gule dla por tu 20, 
czyli - portu FTP-data. Obecna reguła zakłada, że połączenie będzie inicjowane 
przez na szego klien ta do ser wera. Bę dzie to działało, je żeli użyj emy trybu bier nego. 
Ale bar dzo trud no jest nam skon fig uro wać po prawną re gulę po zwal ającą na użyć ie 
trybu czynnego, ponieważ nie jesteśmy w stanie z góry przewidzieć, jakie porty 
będą uży w ane. Je żeli otwor zymy fi rew all, po zwal ając na połączę nia przy chodzące 
na do wolny port, na raz imy naszą sieć na atak po przez wszyst kie usługi przyj mujące 
połączenia. 


* Tryb czyn ny FTP jest czy mś nie int uic yjnie włącza nym za po mocą po lec enia PORT. Tryb bier ny jest 
włącza nyża po mocą po lecenia PASV. 

** De mon ProFTPd jest do brym przykładem ser we ra FTP, któ ry działa in a czej, przy najm niej w star szych 
wersjach. 





Ory giną! ny fi re wali IP (jądra 2.0) 


159 


W tej sy tu acji naj le piej jest wy mu sic na na szych uży t kow ni kach pra cę w try bie bier¬ 
nym. Wię k szość ser w erów FTP i wie le kii entów FTP działa w ten sposób. Po pu lar ny 
klient ncftp także obsługuje tryb bierny, ale może wymagać niewielkiej zmiany w 
konfi gu ra cji, by był to je go tryb do my śl ny. Wie le przegląda rek WWW, ta kich jak Net sc ca pe, 
takżeobsługujebiernytrybFTP,awięcznalezienieodpowiedniegooprogramowanianie po- 
win no być zbyt trud ne. Mo żna też postąpić zu pełnie in a czej: użyć ser we ra proxy FTP, 
który będzie przyjmo wał połączę nia z sie ci we w nętrz nej i re ali zo wał połączę nia z sie cią 
zewnętrzną. 


Tryb FTP PORT (czynny) 

Fort ??? 


Port 21 



Falecene FT 3 

mm 

— 


n-1n CTP 

T 



<I|B| '- \port??? 

uane r l r 

c 

ren??? 

Serwer 

□ 

Tryb FTP PASV (bierny) 




Fort ??? 


Pol 21 k 


1 | Poleceń* FT 3 






.-T 7 T.- ^ LJanB FTP d 

Kianl 

Serwer 

b 

Forł ??? 


Port 20 f 




Żądanie połączenia 


Rysunek9-3. Try by serwera FTP 


Przy projektowaniu firewalla prawdopodobnie napotkasz niejeden taki problem. 
Po wi nie neś zaw sze dokład nie prze ana li zo wać, jak na praw dę działa da na usługa, by 
być pewnym, że umieściłeś odpowiedni zestaw reguł w odpowiednim miejscu. 
Kon f i gu ra cja pra w dzi we go f i re wal la może być dość skom pli ko wa na. 

Podsumowanieargumentówipfwadm 

Poleceni eipfwadm ma wie le róż nych arg umentów od noszących się do kon fi gu ra cji 
fi re wal la IP. Ogólna skład nia jest na stę pująca: 

ipfwadm kategoria polecenie parametry [opcje] 

Przyj rżyj my się ko lej no ka ż de mu z członów. 

Kategorie 

Mu si być poda na jed na i tyl ko jed na z po niż szych ka te go rii. Ka tegoriamówifire wał- 
lo wi, ja kie go ty pu re gułę kon f i gu ru jesz: 
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-I 

Reguławejściowa. 

-O 

Reguła wyjściowa. 

-F 

Reguła prze ka zy wa nia. 

Polecenia 

Przy najm niej jed no z po niż szych po le ceń mu si być poda ne i mu si się ono od no sic do 
okre ślo nej wcze śniej ka te go rii. Po le ce nia mó wią f i re wal lo wi, co ma ro bić. 

-a [po Utyka] 

Do da nie no wej reguły. 

-Upolityka] 

Wsta wie nie no wej reguły. 

-d [polityka] 

Usu nię cie ist niejącej reguły. 

-ppolityka 

Usta wie nie po lit yki do my ś lnej. 

-I 

Wy li sto wa nie wszyst kich ist niejących reguł. 

-f 

Usu nię cie wszyst kich ist niejących reguł. 

Po li ty ki istot ne dla fi re wal la IP i ich zna cze nie jest na stę pujące: 
accept 

Po zwa la na od biór, prze kaz ywa nie lub wysyłanie pa sujących da tagramów. 
deny 

Nie po zwala na od biór, prze kaz ywa nie lub wysyłanie pa sujących da tagramów. 
reject 

Nie po zwala na od biór, prze kaz ywa nie lub wysyłanie pa sujących da tagramów 
i wysyła ko mun ikat błędu ICMP do ho sta, kt óry przesłał da tag ram. 

Parametry 

Musi być podany przynajmniej jeden z poniższych parametrów. Używaj para¬ 
metrów do okre śla nia data gra mów, któr ych do tyczą re guły: 

-P protokół 

Może mieć war tość TCP, UDP, ICMP lub all. Przykład: 

-P tcp 

-Sad res/maska/[port ] 

■ ródłowy ad res IP, do któ re go pa su je ta reguła. Je żeli nie po dasz ma ski sie ci, zo- 
sta nie przy ję ta ma ska „ / 32". Opcjo nal nie możesz okre ślić, któ re go por tu do ty czy 
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reguła. Mu sisz ta kże po dać pro to kół zapomocąopisanego wy żej ar gu men tu -P, 
aby ta opcja za działała. Je żeli nie po dasz por tu lub za kre su por tów, przyj mu je 
się, że wszyst kie por ty pa sują. Por ty mogą być poda ne w po sta ci na zwy zgod nej 
z wpi sem w /etc/seruices. W przy pad ku pro to kołu ICMP pole por tu jest uży wa ne 
do oznaczenia typu datagramu ICMP. Możliwe jest podanie zakresu portów, 
a służy do tego następująca składnia : pierwszyport: ostatniport. Oto 
przykład: 

-S 172.29.16.1/24 ftp:ftp-data 
-D ad res/ma ska/[port ] 

Okre śle nie ad resu do cel owe go IP, do kt óre go pa suje ta reguła. Ad res do cel owy 
jest za pis ywa ny na tej sa mej za sad zie co ad res źródłowy opis any po przedn io. 
Oto przykład: 

-D 172.29.16.1/24 smtp 
-V ad res 

Okre śle nie ad resu in terf ejsu sie ciow ego, na któ rym pa kiet jest od bier any (-1) lub 
z kt órego jest wysyłany (-O). Po zwala to na stwo rzen ie reguł do tyczących tyl ko 
nie których int erfejsów sie ciow ych kom put era. Oto przykład: 

-V 172.29.16.1 
-Wnazwa 

Okre śle nie na zwy in terf ejsu sie ciow ego. Ten ar gum ent działa w ten samsposób 
co -V, ale po daj esz na zwę urządzę nia za miast ad resu. Oto przykład: 

-w pppO 

Argumentyopcjonalne 

Te ar gu men ty są cza sem bar dzo przy dat ne: 

-b 

Jest uży wa ny dla try bu dwu kie run ko we go. Do tej opcji pa su je ruch w obie stro ny 
pomiędzy zadanymi adresami źródłowym i docelowym. Zaoszczędza ci ona 
two rze nia dwó ch reguł: jed nej do wysyłania i dru giej do od bie ra nia. 

-o 

Po zwa la na za pi sy wa nie pa sujących da tagramów do logu jądra. Wszel kie da ta- 
gra my pa sujące do reguły będą za pi sy wa ne jako ko mu ni ka ty jądra. Jest to uży- 
tecznaopcjadowykrywanianieautoryzowanegodostępu. 

-y 

Ta opcja jest uży wa na do fil tro wa nia połączę nio wych dat agr amów TCP. Dzię ki 
niej reguła filtruje tylko datagramy podejmujące próbę zestawienia połączeń 
TCP. Pa so waćbędą je dy nie da ta gra my po sia dające usta wio ny bit SYN i wy ze ra 
wa ny bit ACK. Jest to uży tęcz na opcja do fil tro wa nia prób połączeń TCP i igno ra 
wa nia in nych pro to kołów. 

-k 

Jest uży wa na do fil tro wa nia dat agr am ów-potwierdzeń TCP (ang. ack nowled- 
gement). Ta opcja po wo du je, że do reguły pa sują tyl ko da ta gra my będące pa 
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twier dze niem od bio ru pa kie tów pr óbujących ze sta wić połączę nie TCP. Będą 
pa so wać je dy nie da ta gra my, kt óre mają usta wio ny bit ACK. Opcja ta jest uży¬ 
teczna do filtrowania prób połączeń TCP i ignorowania wszystkich pozo¬ 
stałych pro to kołów. 

Typydatag ramówICMP 

Każde polecenie konfiguracyjne firewalla pozwala ci określać typy datagramów 
ICMP. W od róż nie niu od por tów TCP i UDP, nie ma od po wied nie go pli ku kon fi gu- 
ra cyj ne go, któ ry za wie rałby spis ty pów da ta gra mów i opi sy wał ich zna cze nie. Typy 
datagramów ICMP są zde fi nio wa ne w RFC-1700 (RFC AssignedNum bers). Są one 
ta k że spi sa ne w jed nym z pli ków nagłów ko wych stan dar do wej biblio te ki C. Ty py 
da ta gra mów można też zna le źć w pli ku /usr/include/netinet/ip_icmp .h, na leżącym do 
pa kie tu stan dardo wej bi blio te ki GNU i uży wa nym przez pro gra mi stów C do pi sa- 
nia opro gra mo wa nia sie cio we go wy ko rzy stujące go pro to kół ICMP. Dla two jej wy¬ 
go dy po ka za liś my je w ta be li 9-2. In ter fejs po le ce maiptables po zwa la ci ta kże okre¬ 
ślać ty py ICMP po przez na zwę, a więc po da liś my ta kże ich mne mo ni kę. 

Ta bela 9-2. Typy da tag ramów ICMP 


Typ 

Mnemonikaiptables 

Opis typu 

0 

echo-reply 

Powtórzenieodpowiedzi 

3 

destination-unreachable 

Cel nie osiągalny 

4 

source-ąuench 

• ródlo nie aktywne 

5 

redirect 

Przekierowanie 

8 

echo-request 

Żąda nie powtórzenia 

11 

time-exceeded 

Czas upłynął 

12 

parameter-problem 

Problem z pa ram etr em 

13 

timestamp-reąuest 

Żąda nie znacz nika czasu 

14 

timestamp-reply 

Wysłanie znacz nika cza su w od pow iedzi 

15 

nonę 

Żąda nieinform acji 

16 

nonę 

Wysłanie in form acji w od pow iedzi 

17 

address-mask-request 

Żąda nie ma ski ad resu 

18 

address-mask-reply 

Wysłanie ma ski ad resu w od pow iedzi 


Łańcuchy firewalla IP (jądra 2.2) 

Linuxrozwijasię,bysprostaćrosnącymwymaga niomjegoużytkowników.Firewall 
IP nie stanowi tu wyjątku. Tradycyjna implementacja firewalla IP jest dobra, 
ale może być niewydolna przy konfiguracji bardziej złożonych środowisk. Aby 
sprostać nowym wymaganiom, opracowano nową metodę konfigurowania fire 
walla IP i roz wi nię to związa ne z nią właściwo ści. Tano wa me to da otrzy mała na zwę 
„Łańcu chy fi re wal la IP" (w skro cie łańcu chy IP) pierw szy raz zo stała wpro wa dzo na 
do użyt ku w jądrze Linuk sa 2.2.0. 
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Łańcu chy IP zo stały oprą co wa ne przez Pau la Rus sel la i Mi cha ela Neulin ga*. Paul 
udokumentowałoprogramo wa niełańcuchówIPw IPCHAINS-H O WT O. 

Lańcuc hy IP po zwal ają na two rzen ie klas re gul, do których możesz na stępn ie do- 
daw ać ho sty al bo sie ci lub je stamtąd usuw ać. Łącze nie re gul w lańcuc hy jest o ty le 
lep sze, że po praw ia wy dajn ość fi rew alla w kon fig ura cja ch, gdzie używa się wie lu 
reguł. 

Łańcu chy IP są obsługi wa ne przez jądra se rii 2.2, ale są ta kże do stęp ne w po sta ci łat 
do jąder 2.O.*. Do ku ment HOWT O po da je, gdzie mo żna zdobyć łaty i za wie ra wie le 
wska zó wek, jak ef ek ty w nie uży wać na rzę dzia kon f i gu ra cyj ne go ipchains. 

Używanieipchains 

Korzy staćznarzędziakonfigura cyjne go ipchains mo żna na dwa spo soby. Pierw szy 
po le ga na uży ciu skryp tu ipfwadm-wrapper, któ ry w za sa dzie uda je ipfwadm, bo wy¬ 
wołuje w tle pro gramipchains. Je żeli chcesz tak uży wa ćipchains, ten pod rozdział nie 
jest ci po trzeb ny. Le piej wró cić do po przed nich, opi sującychip/zcadm, i tył ko zastąpić 
go przez ipfwadm-wrapper. Skrypt ten bę dzie działał, ale nie ma gwa ran cji, że bę dzie 
utrzy my wa ny, a po za tym nie bę dziesz czer pał ko rzy ści z za awan so wa nych funk cji 
łańcu chów IP. 

Można też uży wać ipchains inaczej. Trzeba się nauczyć nowej składni i zmodyfi¬ 
kować ist niejącą kon fi gu ra cję do po sta ci zgod nej z nową skład nią. Chwi la za sta no¬ 
wie nia i zauważysz, że w czasie konwersjijestmożliwezoptymalizowanietwojej 
konfiguracji. Składnia ipc/zains jest prost sza do na uczę nia się niż ipfwadm, a więc to 
dobry wybór. 

Program ipfwadm do skonfigurowania firewalla musiał operować na trzech re¬ 
gułach. W przy padku łańcu chów IP możesz stwo rzyć do wolną licz bę zest awów re 
guł, gdzie ka żda bę dzie połączo na z inną, ale wciąż są obecne trzy ze stawy re guł 
związa ne z fi rew allem. Stan dard owe ze stawy re guł są bez poś redni mi od pow iedni- 
kami tych używanych w ipfwadm, poza tym, że mają nazwy: input, forward 
i output. 

Naj pierw przyj rżymy się ogólnej skład ni po lec eniaipchains, a na stępn ie zobac zymy, 
jak używać ipchains za miast ipfwadm, przy czym nie uwzględniani amy za awanse 
wa nych funk cji łącze nia w lańcuc hy. Zro bimy to, przeglądając na sze po przedn ie 
przykłady. 

Składniapoleceniaipchains 

Skład nia po lecenia ipchains jest pro sta. Przyj rzy my się te raz naj wa żniej szym jej ele- 
men tom. Ogó Ina skład nia wię k szo ści po le ceńipchains]est na stę pująca: 

ipchains polecenie okreOlenie-reguOy opcje 


Z Pau lem mo żna się skon tak to wać pod ad re sem Paul.Russell@rustcorp.com.au . 
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Polecenia 

Ist nie je sze reg spo sobów na ope ro wa nie na re gułach i ze sta wach re guł za po mocą 
polecenia ipchains. Istot ne dla fi re wal la IP są: 

-A łańcuch 

Do da nie jed nej lub kil ku reguł na ko nieć za dan ego łańcuc ha. Je żeli jest poda na 
na zwa źródłowego lub do cel owe go ho sta i tłumac zy się na wię cej niż je den ad res 
IP, zo stan ie do dana reguła dla ka żd ego z tych ad re sów. 

-Iłańcuchnu mer reguły 

Wsta wie nie jed nej lub kil ku reguł na początek za dan ego łańcuc ha. Znów, je żeli 
w okres leniu reguły zo stan ie poda na na zwa ho sta, bę dzie do daw ana do ka żd ego 
adresu. 

-D łańcuch 

Usu nię cie jed nej lub kil ku reguł z za dan ego łańcuc ha, który pa suje do reguły. 
-Dłańcuchnu mer reguły 

Usu nię cie reguły znaj dującej się na po zyc ji n umerreguUyw za dan y m łańcuc hu. 
Nu mer acja reguł za czyna się od pierw szej reguły w łańcuc hu. 

-R łańcuch numer reguły 

Zastąpienie reguły na pozycji numerreguDy w zadanym łańcuchu podaną 
regułą. 

-C łańcuch 

Sprawdzenie zadanym łańcuchem datagramu opisanego regułą. Polecenie to 
zwra ca ko mun ikat opis ujący, jak da tag ram był prze twar zany przez łańcuch. Jest 
to bardzo użyteczna opcja to testowania konfiguracji firewalla i nieco później 
przyj rżymy się jej bar dziej szc zegółowo. 

-L [łańcuch] 

Li sto wa nie reguł za danego łańcuc ha lub wszyst kich łańcuch ów, je żeli żad en nie 
zostaniezadany. 

-F [łańcuch] 

Usu nię cie reguł z za da ne go łańcu cha lub usu nię cie wszyst kich reguł, je żeli ża den 
łańcuch nie zo sta nie za da ny. 

-Z [łańcuch] 

Wyzerowanie liczników da tag ram ów i ba jtów dla wszyst kich reguł za dan ego 
łańcuc ha lub wszyst kich łańcuch ów, je żeli żad en nie zo stan ie za dany. 

-N łańcuch 

Stworzenie nowego łańcucha o zadanej nazwie. Nie może istnieć drugi łań¬ 
cuch o tej samej na zwie. W ten sp osób two rzone są łańcuc hy de fin iowa ne przez 
użytków nika. 

-X [łańcuch] 

Usunięcie zadanego łańcu cha zde fi nio wa ne go przez użyt kow ni ka lub wszyst¬ 
kich łańcu chów zde fi nio wa nych przez użytków ni ka, je żeli ża den nie zo sta nie za¬ 
da ny. Aby to po le ce nie za działało, nie może być odwołań do za da ne go łańcu cha 
z żad nych in nych reguł. 
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-P łańcuch po Utyka 

Usta wie niedo my ślnej po li ty kidlaza dane go łańcucha. Dopuszczalne polityki to 
ACCEPT, DENY, REJECT, REDIR i RETURN.PolitykiACCEPT, DENY i REJECT 
mają ta kie samo zna cze nie jak w tradycyjnych implementacjachfirewalla.REDlR 
ozna cza, że da ta gram po wi nien być nie wi docz nie prze kie ro wa ny na port fi re 
wal la. RE TURN po wo du je, że kod fi re wal la IP po wra ca do tego łańcu cha fi re wał- 
la, któ ry wywołał łańcuch za wie rający tę regułę, i kon ty nu uje dal sze działanie, 
począwszy od na stęp nej reguły. 

Pa ra metry okre ślające regułę 

Na re gułę ipchains składa się wie le par ametrów, któ re okre ślają, ja kie ty py pa kietów 
mają do niej paso wać. Je żeli kt óryś z tych parametrów zo sta nie w re gu le po mi nię ty, 
zakład ana jest jego war tośćdomyśl na. 

-p[!]protokół 

Okre śla prot okół da ta gra mu, kt óry bę dzie pa so wał do tej reguły. Do pusz czai ne 
nazwyprotokołówtotcp, udp, icmp lub a 11. Możesz także po dać nu mer pro¬ 
tokołu. Na przykład mógłbyś użyć 4, aby dopasować protokół enkapsulacji 
ipip. Jeżeli podasz !, reguła zostanie zanegowana i datagram będzie dopaso- 
wy wany do wszyst kich pro to kołów poza za da ny mi. Je żeli pa ra metr nie zo sta¬ 
nie poda ny, zo sta nie przy ję ta war tość a 11 . 

-s [!]ad res[/ma ska ][!][port ] 

Określa adres źródłowy i port w datagramie, który ma pasować do tej 
reguły. Ad res może być poda ny w po sta ci na zwy ho sta, na zwy sie ci lub ad re su 
IP. Opcja ma s k po zwa la na za da nie uży wa nej ma ski sie ci, któ ra może być poda¬ 
na albo w tradycyjnej postaci (tj. /255.255.255.0), albo w postaci współczesnej 
(tj./24). 

Opcjo nalny port okre śla port TCP lub UDP albo typ do pa so wy wa ne go da ta gra- 
mu ICMP. Nu mer por tu możesz wska zać tyl ko wte dy, gdy użyłeś wcze śniej pa- 
rametru-p,podającjedenzprotokołów:tcp, udp lub icmp. Mo żna też po dać za¬ 
kres por tów - jego dolną i górną gra ni cę roz dzie lo ne dwu krop kiem. Na przykład 
2 0:25 opi su je wszyst kie por ty od 20 do 25 włącznie. Znak ! może być wy ko rzy- 
stanydozanegowa nia war to ści. 

-d [!]ad res[/ma ska ][!][port ] 

Okre śla ad res i port do cel owy za warte w da tag ramie, kt óry ma pa sow ać do tej 
reguły. Ko dow anie tego pa ram etru jest ident yczne jak pa ram etru -s. 

-j cel 

Określa działanie do wykonania, jeżeli reguła będzie pasowała. Parametr ten 
możesz so bie przetłumac zyć jako „skocz do" (ang .jump to). Do pusze żalne cele to 
ACCEPT, DENY, RE JECT, REDIR i RETURN. Ich znaczenie opisaliśmy wcześniej. 
Jed nak możesz po dać ta kże na zwę łańcuc ha zde fin iowa nego przez użytk owni- 
ka, w którym bę dzie wy kon y wa ne dal sze prze twar zanie. Je żeli ten pa ram etr zo¬ 
stań ie po min ięty, to na wet je śli da tag ram pa suje do reguły, nie zo stan ie pod jęte 
żadne inne działanie, op rócz uakt ual nie nia da tag ramu i li czn ików ba jtów. 
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-i[!]nazzva-interfejsu 

Okre śla in terf ejs, kt óry przyjął da tag ram lub przez który zo stan ie on wysłany. 
Znów znak ! odwraca wynik dopasowania. Je żeli nazwa interfejsu kończy się 
znakiem +, pasował będzie każdy interfejs, którego nazwa rozpoczyna się za¬ 
danym ciągiem. Na przykład, - i ppp+ bę dzie pa sow ać do do woln ego urządzę 
nia sie ciow ego PPP, a-i ! eth+bę dzie pa sow ać do wszyst kich urządzeń poza 
Ethernetem. 

W-/ 

Mówi, że reguła ta dotyczy wszystkiego poza pierwszym fragmentem datag- 
ramu po dziel one go na frag menty. 

Opcje 

Po niż ej po ka za ne opc]eipchains są bar dziej ogó lne. Nie które z nich ste rują ra czej ezo- 
terycznymifunkcjamioprogramowaniałańcuchówIP: 

-b 

Po wo du je, że po lec enie ge ner uje dwie reguły. Jed na reguła uwzględn ia poda ne 
pa ram etry, a dru ga uwzględn ia je w od wrotn ym kie runku. 

-v 

Po wo du je, że ipchains wy ś wie tła bo ga te wy ni ki, czyli po da je wię cej in for ma cji. 

-n 

Po woduje, że ipchains wy świet la ad res IP i por ty jako licz by bez próby ich za¬ 
miany na od pow iadające im na zwy. 

-I 

Włącza za pis y wa nie przez jądro pa sujących da tagramów. Wszyst kie da tag ramy 
pa sujące do reguły są za pis y wa ne przez jądro za po mocą funk cji printkO. Zwy kle 
jest to obsługiwane przez program syslogd zapisujący do pliku log. Funkcja ta 
przy daje się do ogląda nia nie stand ardo wych dat agram ów. 

-o[maxrozmiar] 

Po wo du je, że oprog ramo wan ie łańcuc hów IP ko piuje da tag ramy pa sujące do reguły 
do urządzenia „netlink", które działa w przestrzeni użytkownika. Argument 
maxrozmiar ogran icza licz bę bajt ów ka żd ego da tag ramu, kt óra zo stan ie prze kaz ana 
do urządzę nia ne tlink. Opcja ta jest naj chętn iej sto sow ana przez programistów, ale 
może być w przyszłości wy kor zyst ana w pa kiet ach oprog ramo wan ia. 

-mwartośćznakowania 

Po wo du je, że pa sujące da tag ramy są oznaczane za daną war toś cią. Te war toś ci to 
32- bit owe licz by bez zna ku. W obecn ych im plem enta cja ch opcja ta nie działa, ale 
w przyszłości może de cyd ować o obsłudze da tag ramu przez inne oprog ramo- 
wan ie, ta kie jak na przykład kod ru tujący. Je żeli wartośćznakowaniarozpoczyna 
się od zna ku + albo -, jest ona do daw ana lub odejm owa na od ak tua lnej war toś ci 
znakowania. 
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-t ma ska and ma skaxor 

Po zwa la na ope ro wa nie na bi tach „typ usługi" w nagłówku IP ka ż de go da ta gra- 
mu pa sującego do reguły. Bity typu usługi są uży wa ne przez in te li gent ne ru te 
ry do nadawania priorytetów datagramom, zanim zostaną dalej przekazane. 
Opro gra mo wa nie ru tujące Linuksa po tra fi re ali zo wać ta kie nada wa nie prio ry te 
tów. War to ści ma skaand i ma skaxor ozna czają ma ski bi to we, któ re będą pod¬ 
dawane od po wied nio lo giez nej ope ra cji AND i OR z bi ta mi typu usługi da ta- 
gramu. Jest to zaawansowana funkcja, która szczegółowo została omówiona 
w IPCHAINS-HO WTO. 

-x 

Po wo duje, że wszel kie licz by w wy niku ipchains są po kaz y wa ne dokład nie, bez 
zaokrąglania. 

-y 

Po wo du je, że do reguły pa sują wszyst kie da tag ramy TCP z ustaw ionym bi tern 
SYN i wyzerowanymi bitami ACK i FIN. Jest używana do filtrowania żądań 
nawiąza nia połączę nia TCP. 

Po pra wio na wersja na szego prostego przykładu 

Powróćmy do przykładu z sie cią firmową, w której działa fi re wali opar ty na kom pu- 
te rze z Linuk sem. Urno żli wia on użyt kow ni kom do stęp do serwerów WWW w In¬ 
ter ne cie, ale nie po zwa la na ża den in ny ruch. 

Gdy by na sza sieć miała 24- bitową ma skę (kła sa C) i ad res 172.16.1.0, użył iby śmy na¬ 
stęp ujących re guł ipchains: 

# ipchains -F forward 

# ipchains -P forward DENY 

# ipchains -A forward -s 0/0 80 -d 172.16.1.0/24 -p tep -y -j DENY 

# ipchains -A forward -s 172.16.1.0/24 -d 0/0 80 -p tep -b -j ACCEPT 

Pierw sze po le ce nie czy ści wszyst kie re guły z ze sta wu forward, adru gie de fi niu- 
je domyślną politykę zestawu reguł forward na DENY. Trze cie i czwar te po le ce 
nie re ali żują wy ma ga ne przez nas fil tro wa nie. Czwar te po le ce nie po zwa la da ta gra¬ 
mom kie ro wa nym do i z ser we rów WWW na prze cho dze nie do na szej sie ci, a trze 
cie zapobiega przyjmowaniu przychodzących połączeń TCP z portem źródło¬ 
wym 80. 

Gdybyśmy te raz chcie li do dać re guły po zwa łające na do stęp do ze w nętrz nych se r- 
werów FTP w try bie bier nym, mu sie li by śmy wpi sać: 

# ipchains -A forward -s 0/0 20 -d 172.16.1.0/24 -p tep -y -j DENY 

# ipchains -A forward -s 172.16.1.0/24 -d 0/0 20 -p tep -b -j ACCEPT 

# ipchains -A forward -s 0/0 21 -d 172.16.1.0/24 -p tep -y -j DENY 

# ipchains -A forward -s 172.16.1.0/24 -d 0/0 21 -p tep -b -j ACCEPT 
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Li stówa nie reguł za po mocą ipcha ins 

Do wy li sto wa nia re gul za po mocąipchainsuży wa my ar gu men tu-L. Po dob nie jak to 
było w ipfwadm, ist nieją ar gu men ty kon tro lujące licz bę szcz egółó w po ka zy wa nych 
w wy ni ku. W naj prost szej po sta ci ipchains ge ne ruje na stę pujący wy nik: 

# ipchains -L -n 

Chain input (policy ACCEPT): 

Chain forward (policy DENY): 


target prot opt source destination ports 

DENY tcp -y- 0.0.0.0/0 172.16.1.0/24 80 -> * 

ACCEPT tcp - 172.16.1.0/24 0.0.0.0/0 * -> 80 

ACCEPT tcp - 0.0.0.0/0 172.16.1.0/24 80 -> * 

ACCEPT tcp - 172.16.1.0/24 0.0.0.0/0 * -> 20 

ACCEPT tcp - 0.0.0.0/0 172.16.1.0/24 20 -> * 

ACCEPT tcp - 172.16.1.0/24 0.0.0.0/0 * -> 21 

ACCEPT tcp - 0.0.0.0/0 172.16.1.0/24 21 -> * 


Chain output (policy ACCEPT): 

Jeżeli nie podasz nazwy łańcucha, który chcesz obejrzeć, ipchains wyświetli 
wszystkie re guły ze wszyst kich łańcuch ów. Ar gu ment - n w na szym przykładzie po- 
wo du je, że ipchains nie próbuje kon wer to wać adr esów i por tów na na zwy. Po ka za na 
informacja powinnabyćoczywista. 

Bo gat sza for ma wy ni ku, uzy ski wa na przez opcję -u, po ka zu je du żo wię cej szc zegółów. 
Do dat ko we po la za wie rają licz ni ki data gramów i bajt ów, znacz ni ki AND i XOPtypu 
usługi, na zwę in ter f ej su, zna ko wa nie i roz miar wy ni ko wy. 

Ze wszyst ki mi re gulami utwo rzo ny mi za po mocą ipchains związa ne są licz ni ki baj¬ 
tów i da ta gra mów. W ten spo sób jest za im ple men to wa ne li cze nie ru chu IP, któ re zo- 
stanieszcze goło wo omówionewrozdzialelO.Domyślnielicznikisąpokazy wa ne w 
postacizaokrąglonejzprzyrostkamiK i Można czający mi odpowiednio jednostki: ty¬ 
siąc i mi lion. Je żeli zo sta nie poda ny ar gu ment - x, licz ni ki są roz wi ja ne do ich pełnej, 
nie za okrąglonej po sta ci. 

Korzystaniezłańcuchów 

Wiesz już, że po le ce nie ipchains za stę pu je ipfwadm , ma prostszą skład nię i kil ka de¬ 
ka wych roz sze rżeń, ale bez wątpię nia chcesz wie dzieć, gdzie i po co uży wać łańcu¬ 
chów de fi nio wa nych przez użyt kow ni ka. Za pew ne je steś też cie ka wy, jak posługi¬ 
wać się dodatkowymi skryptami towarzyszącymi poleceniu ipchains w pakiecie. 
Przyj rzy my się te raz tym te ma tom i po sta ra my się od po wie dzieć na py ta nia. 

Lańcu chy def i nio wa ne przez użyt kow ni ka 

Trzy ze sta wy re guł dla tra dy cyj ne go fi re wal la IP sta no wią me cha nizm two rze nia 
prostych konfiguracji firewalla, którymi łatwo jest zarządzać w małych sieciach 
o nie wiel kich wy ma ga niach wo becsystemubezpieczeństwa.Gdy wy ma ga nia kon- 
fi gu ra cyj ne wzra stają, po ja wia się sze reg pro ble mów. Po pierw sze, du że sie ci czę sto 
wy ma gają du żo wię cej re guł fi re wal la, niż tych kil ka, z któ ry mi się do tej po ry spo t- 
ka liś my. Nieuchronnie rosną potrzeby doda wania do fi re wallaregułobsługujących 
przypadkiszczególne.Gdyliczbaregułrośnie, wy daj ność f i re wal lapogarszasię,bo 
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na ka żdy m da ta gra mie jest prze pro wa dza nych co raz wię cej te stów; próbie mem sta¬ 
je się też zarządza nie. Po dru gie, nie jest mo żli we włącza nie i wyłącza nie ze sta wu re 
guł w spo sób roz dziel ny. Gdy je steś w trak cie prze bu do wy ze sta wu re guł, na ra żasz 
sieć na ata ki. 

Za sa dy bu do wy łań cu chów IP po ma gają złago dzić te pro ble my, gdyż urno żli wiają 
ad mi ni stra to ro wi two rzeniedowolnychzestawówregułfire wal la,któremożnana 
stęp nie dołączać do trzech wbu do wa nych zes ta wów re guł. Do utwo rze nia nowego 
łańcu cha mo żna użyć opcji -N pro gra mnipchains. Trze ba po dać je go na zwę, skład ającą 
się z 8 (lub mniej) znaków. (Ogra ni cze nie na zwy do małych li ter jest do brym po¬ 
mysłem). Opcja-/konfiguruje działanie podejmowane wtedy, gdy da ta gram pa su je 
do wy ma gań re guły. Mówi, że je żeli da ta gram bę dzie pa so wał do re guły, dal sze te 
sto wa nie po win no być re ali zo wa ne w łańcu chu zde fi nio wa ny m przez użyt kow ni- 
ka. Po ka żerny to na wy kre sie. 

Roz waż my na stęp ujące po lec enia ipchains: 

ipchains -P input DENY 
ipchains -N tcpin 

ipchains -A tcpin -s ! 172.16.0.0/16 

ipchains -A tcpin -p tcp -d 172.16.0.0/16 ssh -j ACCEPT 
ipchains -A tcpin -p tcp -d 172.16.0.0/16 www -j ACCEPT 
ipchains -A input -p tcp -j tcpin 
ipchains -A input -p all 

Domyślną politykę łańcucha wejściowego ustawiamy na deny. Drugie polecenie 
two rzy de fi nio wa ny przez użyt kow ni ka łańcuch o na zwie „ tc pin" .Trze cie po le ce nie 
dodaje do łańcucha tcpin regułę, do której pasują wszystkie datagramy po¬ 
chodzące spo za na szej sie ci lo kal nej. Nie jest po dej mo wa ne żad ne do dat ko we dzia¬ 
łanie. Jest to re guła zli czająca i zo sta nie om ówi ona bar dziej szc zegółowo w roz dzia le 
10. Do na stęp nych dw óch re gul pa sują da ta gra my prze zna czo ne dla na szej sie ci lo¬ 
kal nej na por ty ssh lub www. Pasujące da ta gra my są ak cep to wa ne.Wna stęp nej re 
gu le tkwi praw dzi wa ma gia ipchains. Re guła ta po wo du je, że opro gra mo wa nie fi re 
wal la spraw dza ka żdy da ta gram TCP za po mocą łańcu cha tcpin, zdefiniowanego 
przez użytkownika. Na ko nieć do da je my regułę do nasze go łańcucha input, do 
którego pa su je ka żdy da ta gram. Jest to ko lej na re guła zli czająca. W ten sposób uzy¬ 
sku je my łańcu chy fi re wal lapokazanenarysunku9-4. 

Na sze łańcuc hy input itcpinsąza pełnia ne re gulami. Prze twar zanie da tag ramu 
zaw sze roz poc zyna się w jed ny m z łańc uchów wbu dow any ch. Zo ba czy my, jak zde 
fin iowa ny przez nas łańcuch jest uży w any przy prze twar zaniu różn ych typów data- 
gramów. 

Naj pierw przyj rżymy się, co się dzie je, gdy zo stan ie odeb rany da tag ram UDP dla 
jed nego z na szych ho stów. Ry sun ek 9-5 po kaz uje przepływ przez re guły. 

Da tag ram zo staje odeb rany przez łańcuch input, ale nie pa suje do dwóch pierw¬ 
szych re gul, po niew aż pa sują do nich tyl ko da tag ramy pro tokołów ICMP i TCP. Ze 
staje do pas owa ny do trze ciej re guły łańcuc ha i npu t , kt óra nie za wiera ce lu. Są więc 
uakt ual nia ne licz niki baj towy i dat agr amów, ale nie jest po dejm owa ne żadne in ne 
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działanie. Da tag ram do ciera do ko ńca łańcuc ha i npu t, spełniając wa runki je go do- 
myś lnej po lit yki i zo staje od rzuć ony. 




Ry sun ek9-5. Ko lej ność spraw dzan ia regułdla odeb ranę go da tag ramu UDP 


Aby zo bac zyć zde fin iowa ny przez nas łańcuch w działaniu, roz waż my, co się dzie je, 
gdy zo stan ie odeb rany da tag ram TCP prze znać zony dla por tu s s h jed nego z na¬ 
szych ho stów. Ko lejn ość po kaz ano na ry sunku 9-6. 
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Ry sun ek9-6. Ko lej ność reguł dla odeb ranę go pa kietu TCP dla portu ssh 
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Tym ra zem da tag ram pa suje do dru giej re guły w lańcuc hu i nput, kt óra kie ruje go 
do ce lu t cp i n - łańcuc ha zde fin iowa nego przez użytk owni ka. Poda nie łańcuc ha 
zde fin iowa nego przez użytk owni ka ja ko ce lu po wod uje, że da tag ram bę dzie spraw¬ 
dzany przez zawarte w nim reguły, a więc następną sprawdzaną regułą będzie 
pierw sza re guła z łańcuc ha t cp i n . Do tej re guły pa sują da tag ramy, kt óre mają ad res 
źr odłowy spo za sie ci lo kaln ej i nie za wier ają ad resu prze znać zenia, a więc jest to ta k- 
że re guła zli czająca i te stów anie prze chód zi do na stępn ej re guły. Dru ga re guła w na¬ 
szym łańcuc hu t cp i n pa suje doda tag ramu i okreś la cel AC C E P T . Do tarł iśmy do ce 
lu, a więc nie bę dzie już żadn ego prze twar zania przez fi re wali. Da tag ram zo staje 
przepuszczony. 

Na ko nieć zo baczmy, co się sta nie, gdy do trzemy do ko ńca zde fin iowa nego przez 
nas łańcuc ha. Aby to zo bac zyć, mu simy po kaz ać przepływ da tag ramu TCP prze z- 
nac zonę go dla por tu in nego niż dwa przez nas obsługiw ane. Po kaz uje my to na ry- 
sunku 9-7. 


Input fcpin 


-p icmp -j iCCEPT 
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Rysunek9-7. Ko lej ność regułdla odeb ranę go pa kietu TCP dla tel net 

Łańcu chy zde fi nio wa ne przez uży t kow ni ka nie mają po li ty ki do my śl nej .Gdy wszyst kie 
zawar te w nich reguły zo staną spraw dzo ne i żad na nie pa su je, fi re wali działa tak, jak¬ 
by ist niała re guła RETURN, a więc je żeli nie te go chciałeś, po wi nie neś na ko ńcu łańcu¬ 
cha użyt kow ni ka umie ścić żąda ne działanie. W na szym przykładzie spraw dza nie po- 
wra ca do re guły z ze sta wu i nput na stęp nej po tej, przez którą prze szliś my do łańcu¬ 
cha zde fi nio wa ne go przez użyt kow ni ka. Osta tęcz nie do cie ra my do ko ńca łańcu cha 
i np u t, kt óry po sia da po li ty kę do my ślną i da ta gram zo staje od rzu co ny. 

Ten przykład jest bardzo prosty, ale po kaz uje to, o co nam cho dziło. W prak tyce 
działanie łańcuchów IP jest du żo bar dziej skom plik owa ne. Nie co bar dziej wy raf ino- 
wany przykład po kaz uje my po niżej, w po staci li sty po lec eń. 

# 

# Ustawienie domyEUnej polityki przekazywania na REJECT 
ipchains -P forward REJECT 

# 

# utworzenie naszego DaDcucha 
ipchains -N sshin 
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ipchains -N sshout 
ipchains -N wwwin 
ipchains -N wwwout 
# 

# Gwarancja odrzucania poDDczeD w zDym kierunku 
ipchains -A wwwin -p tcp -s 172.16.0.0/16 -y -j REJECT 
ipchains -A wwwout -p tcp -d 172.16.0.0/16 -y -j REJECT 
ipchains -A sshin -p tcp -s 172.16.0.0/16 -y -j REJECT 
ipchains -A sshout -p tcp -d 172.16.0.0/16 -y -j REJECT 

# 

# Gwarancja, De wszystko, co dotrze do koDca DaDcucha 

# zdefiniowanego przez uDytkownika, zostanie odrzucone 
ipchains -A sshin -j REJECT 

ipchains -A sshout -j REJECT 
ipchains -A wwwin -j REJECT 
ipchains -A wwwout -j REJECT 

# 

# Przekierowanie usDug www i ssh do odpowiedniego DaDcucha 

# zdefiniowanego przez uDytkownika 

ipchains -A forward -p tcp -d 172.16.0.0/16 ssh -b -j sshin 

ipchains -A forward -p tcp -s 172.16.0.0/16 -d 0/0 ssh -b -j sshout 

ipchains -A forward -p tcp -d 172.16.0.0/16 www -b -j wwwin 

ipchains -A forward -p tcp -s 172.16.0.0/16 -d 0/0 www -b -j wwwout 

# 

# Umieszczenie reguD sprawdzajDcych hosty na drugiej pozycji w 

# zdefiniowanych przez nas DaDcuchach 
ipchains -I wwwin 2 -d 172.16.1.2 -b -j ACCEPT 
ipchains -I wwwout 2 -s 172.16.1.0/24 -b -j ACCEPT 
ipchains -I sshin 2 -d 172.16.1.4 -b -j ACCEPT 
ipchains -I sshout 2 -s 172.16.1.4 -b -j ACCEPT 
ipchains -I sshout 2 -s 172.16.1.6 -b -j ACCEPT 

# 

W tym przykładzie użyliśmy łańcuchów definiowanych przez użytkownika do 
uprosz cze nia zarządza nia na szym fi re wal lemidopopra wy wy daj no ści w po rów na- 
niu z roz wiąza niem wyko rzy stującym je dy nie łańcu chy wbu do wa ne. 

W na szym przykładzie są two rzo ne łańcu chy użyt kow ni ka dla ka ż dej z usług ssh 
i www w ka żdym kie run ku połączę nia. W łańcu chu wwwout umiesz cza my re guły dla 
ho stów, któ re mogą two rzyć wy chodzące połączę nia WWW, a w s shindefiniuje 
my re guły dla ho stów, któ re mogą przyj mo wać przy chodzące połączę nia ssh. Za¬ 
łożyliśmy, że po trze bu je my mo żli wo ści przyj mowa nia i od rzu ca nia połączeń ssh 
i www tył ko dla wy bra nych ho stów w na szej sie ci. Jest to pew ne uprosz cze nie, gdyż 
łańcu chy de fi nio wa ne przez użyt kow ni ka po zwa łają na gru po wa nie re guł według 
pa kie tów przy chodzących do ho sta i wy chodzących z nie go, a nie na ich mie sza nie. 
Po pra wia się wy daj ność, po nie waż dlakażdegodatagramu zmniej szyliśmyśred nią 
liczbę te stów ro bio nych przed osiągnię ciem ce lu. Wy daj ność zwię k szy się jesz cze 
bar dziej, je żeli wzro śnie licz ba ho stów. Gdy by śmy nie mie li łańcu chów użyt kow ni- 
ka, potencjalnie musielibyśmy przeszukiwać całą listę reguł, by stwierdzić, czy 
działanie ma zostać pod jęte przy każdym ode branym da ta gra mie. Na wet gdy by¬ 
śmy założy li, że ka żda z re guł za war tych na na szej liś cie pa su je do rów nej licz by 
przetworzonych da ta gra mów, wciąż mu sie li by śmy prze szu ki wać śred nio połowę 
li sty. Łańcu chy de fi nio wa ne przez użytków ni ka po zwa łają nam uniknąć spraw dza- 
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nia du żej licz by re gul, po nie waż te sto wa ny da ta gram mu si pa so wać do pro stej re¬ 
guły wbu do wa ne go łańcu cha, aby w ogó le do trzeć do łańcu cha uży t ko w ni ka. 

Skrypty po mocn iczeipchai ns 

Pakiet oprog ramo wan iaipchains jest do stare zany wraz z trze ma do datk owy mi skryp¬ 
tami. Pierw szy z nich już kr ótko om owiliśmy, na tom iast po zos tale dwa za pewniają 
łatwe i wy godne spo soby za chow y wa nia i od twar zania kon f ig ura cji f i rewalla. 

Skrypt ipfwadm-wrapper emuluje składnię wiersza poleceń ipfwadm, ale wy ma ga po¬ 
le ce nia ipchains do two rze nia re gul. Jest to wy god ny spo sób na mi gra cję ist niejącej 
konfiguracji firewalla do jądra lub alternatywa dla opanowania skład ni ipchains. 
Skrypt ipfwadm-wrapper zachowuje się inaczej niż polecenie ipfwadm pod dwoma 
wzglę da mi. Po pierw sze, ipchains nie po zwa la na okre śle nie in ter fej su przez ad res, 
a ipfwadm-wrapper przyj mu je ar gu ment-V, ale pró bu je za mie nić go na właści wy dla 
ipchainsod po wied nik- W, szu kając na zwy in ter fej su skonfi gu ro wa nej pod za da nym 
ad re sem. Skry ptipfwadm-wrapper zaw sze przy po mi na ci o tym, wy pi sując ko mu ni kat, 
gdy uży jesz opcji -V. Po dru gie, re guły zli cza nia frag men tów nie są tłuma czo ne po¬ 
prawnie. 

Skryp tyipchains-saoe i ipchains-restore uprasz czają two rze nie i mo dy fi ko wa nie kon fi- 
guracji fi re wal la. Po le ce nie ipchains-save od czy tu je ak tu alną kon f i gu ra cję f i re wal la 
iza pi su je uprosz czoną po stać na stan dar do we wy jś cie. Po le ce nie ipchains-restore od¬ 
czytu je dane wfor macie wy prowadza nym przezipc/zaius-saneikonfi guru je fire wali 
IP zgod nie z od czy ta ny mirę gulami. Ko rzy ścią z uży wa nia tych skryp tów jest mo ż li- 
wośćna tych miasto we gody namicznegotwo rze niakonfiguracjiijejza pisa nia,czego 
nie da je bez po śred nie mo dy f i ko wa nie skryp tu kon fi gu rujące go fi re wali i te sto wanie 
kon fi gu ra cji. Taką kon fi gu ra cję mo żna na stęp nie od two rzyć, zmo dy fi ko wać iza pi¬ 
sać ponownie. 

Aby użyć tych skryptów izachowaćaktua Iną konfiguracjęfirewalla,musisznapisać 
coś ta kiego: 

ipchains-save >/var/state/ipchains/firewall.State 

Możesz ją po tern od twór zyć, zwy kle w cza sie uruc hami ania sys temu, w na stęp ujący 
sposób: 

ipchains-restore </var/state/ipchains/firewall.State 

Skrypt ipchains-restore spraw dza, czy ist nieją już umiesz czo ne w kon fi gu ra cji łańcu chy 
zde fi nio wa ne przez użyt kow ni ka. Je śli po dasz opcję - f, re guły z wcze śniej skon fi gu- 
ro wa nych łańcu ch ów uży t ko w ni ka będą au to ma tycz nie usu nię te przed wczy ta niem 
nowych. Natomiast przy działaniu domyślnym jesteś pytany, czy pozostawić, czy 
usunąć da ny łańcuch. 

Net filt er i ta bele IP (jądra 2.4) 

Kie dy Paul Rus sell pra cował nad łańcuc hami IP, do szedł do wnio sku, że fi rew alle IP 
powinny być mniej skomplikowane. Wkrótce więc zajął się upraszczaniem prze- 
twar zania data gram ów w ko dzie fi rew alla za wart ym w jądrze i stwo rzył struk turę 
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fil trującą, któ ra była du żo prost sza i du żo bar dziej elas tyczna. Tę nową struk turę naz¬ 
wał netfilter. 



W cza sie pi san ia tej książki bu dowa netfilter nie była jesz cze ustab iii zow ana. Mamy na¬ 
dzieję, że wy bac zysz nam wszel kie błędy w opis ienetfilter inarzędzikonfiguracyjnych, 
któ re wy nik ają ze zmian, ja kie zaszły po przy got owa niu tego ma ter iału. Uznał iśmy, że 
netfilter jest te mat em na tyle istotn ym, by uspraw iedl iwić umieszc zenie jego ro boc zego 
opisu w tej książce, bez wzglę du na fakt, że jego czę ści są oparte na do mysłach. Gdy byś 
miał ja kiek olwi ek wątpli woś ci, są już do stępne od pow iednie do kum enty HOWTO za- 
wier ające bar dziej dokładne i ak tua lne in form acje na te mat sz czegółowych za gadn ień 
związa nych z kon fig ura cją netfilter. 


Cóż więc było nie tak z łańcuchami IP? Poprawiły one znacznie wydajność i za¬ 
rządzanie regułami firewalla. Ale sposób przetwarzania datagramów wciąż był 
skom pli ko wa ny, szcze gól nie w połączę niu z funk cja mi związa ny mi z fi re wal lem, 
ta ki mi jak ma sko wa nie IP (omó wio ne w roz dzia le 11) i in ne for my trans la cji ad re sów. 
Czę ścio wa złożoność wy ni kała z fak tu, że ma sko wa nie IP i trans la cja ad re sów sie 
cio wych po wstały nie za le żnie od ko du fi re wal la w jądrze i do pie ro póź niej zo stały 
do niego dołączone. Niestety nie było to wszystko tworzone razem od początku 
i zin te gro wa ne w ko dzie fi re wal la. Gdy by twór cy chcie li do dać na stęp ne funk cje 
z wiąza ne z prze twa rza niem da ta gra mów, mie li by trud no ści ze zna le zieniem miej sca 
na umieszczenie swojego kodu i musieliby dokonać zmian w jądrze, aby dopiąć 
swego. 

Po za tym istniały jesz cze inne pro bierny. Wszczególnościłańcuch„input" opisywał 
we jś cie do całej war stwy sie ci IP. Łańcuch we jś cio wy do ty czyi za rów no da ta gra¬ 
mów przeznaczonych dla ho sta, jak i da ta gra mów ru towanychprzezhost. Było to nie co 
mylące, po nie waż mie szało funk cję łańcu cha we jś cio we go z funk cją łańcu cha prze 
kazującego, dotyczącego tylko datagramów przekazywanych dalej, ale zawsze 
spraw dza nych po prze jś ciu przez łańcuch we jś cio wy. Gdy byś chciał in a czej trak to- 
wać data gramy przeznaczone dla hosta niż datagramy przekazywane dalej, mu¬ 
siałbyś stwo rzyć złożone re guły wy klu czające jed ne lub dru gie. Ten sam pro blem 
do ty czył łańcu cha wy jś cio we go. 

Oczywiście ta złożoność poniekąd dotknęła administratora systemu, ponieważ 
odbiła się na spo so bie two rze nia re guł. Co wię cej, wszel kie roz sze rze nia fil tro wa nia 
wymagałybezpośrednichmody fika cjijądra,po nie waż wszystkie po li ty ki filtrowania 
były w nim za im ple men to wa ne i nie było spo so bu na stwo rze nie prze zro czy ste go in- 
terfej su. netfilter ra dzi so bie za rów no ze złożono ścią, jak i sztyw no ścią star szych roz¬ 
wiązań, im ple men tując w jądrze ogólną struk tu rę okre ślającą sposób prze twa rza nia 
da ta gra mów i za pew niającą mo żli wość rozbu do wy po li ty ki fil tro wa nia bez po trze 
by mody fika cji jądra. 

Przyj rżyjmy się dwóm klu czow ym zmia nom, które zo stały do kon ane. Ry sun ek 9-8 
pokaz uje, jak da tag ramy są prze twar zane w im plem enta cjiłańcuchówIP,natomiast 
ry sun ek 9-9 po kaz uje, jak są one prze twar zane przez netfilter. Za sadnicze ró żnice to 
usunięcie z głównego kodu funkcji maskowania i zmiana umiejscowienia łańcu- 
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chów we jśc iowe go i wy jśc iowe go. Zmia nom tym to war zyszy no we, dające się roz- 
bud ować na rzęd zie o na zwie iptables. 

W łańcu chach IP łańcuch we jś cio wy do ty czył wszyst kich datagr amów ode bra nych 
przez hostbez wzglę du na to, czy były one dla nie go prze zna czo ne, czy ru to wa ne do 
innego hosta. W netfilter łańcuch wejściowy dotyczy tylko datagramów przezna¬ 
czonych dla hosta lokalnego, a łańcuch przekazujący dotyczy tylko datagramów 
prze zna czo nych dlainnego ho sta. Po dob nie w łańcu chach IP, łańcuch wy jś cio wy do- 
ty czy wszyst kich datagr amów wy chodzących z ho sta lo kał ne go bez wzglę du na to, 
czy są to da ta gra my na nim stwo rzo ne, czy przez nie go ru to wa ne z in ne go ho sta. 
W netfilter łańcuch wy jś cio wy do ty czy tylko dat agramów wy ge ne ro wa nych na da¬ 
nym ho ście, a nie do ty czy da ta gramów przez nie go ru to wa nych. Sa ma ta zmia na 
sta nowipoważneuproszczeniewielu kon f i gu ra cji f i re wal la. 

Na rysunku 9-8 elementy opisane jako „demaskowanie" i „maskowanie" są od- 
dzieln ymi elem enta mi jądra od pow iedz ialnymi za prze twar zanie przy chodzących 
i wychodzących datagramów maskowanych. Zostały one ponownie zaimpleme 
ntow ane w netfilter)akomoduły. 
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Ry sunek9-8. Łańcuch prze twar zania data gram ów w łańcuc hach IP 


Przyj rżyj my się kon fi gu ra cji, w któ rej do my śl na po li ty ka dla ka ż de go łańcu cha: wejś- 
ciowe go, wyjściowe go i prze kazującego,jestusta wioną na deny. W łańcu chach IP 
potrzebne jest sześć re guł, aby prze pusz czać jakąkol wiek se sję przez fi re wali: po 
dwie w ka żdym łańcu chu: we jś cio wym, wy jś cio wy m i prze ka żującym (jed na obsłu¬ 
gi wałaby prze syłanie w jedną stro nę, a dru ga w drugą.). Możesz so bie wy obra zić, 
jak łatwo mogłoby to się stać nadzwyczaj skomplikowane i trudne do ogarnięcia, 
gdybyś chciał mieszać sesje rutowane i sesje połączeń do hosta bez rutowania. 
Łańcu chy IP po zwa łają na two rze nie łańc uch ów nie co uprasz czających to za da nie, 
ale ich budo wa nie jest oczy wi sta i wy ma ga pew ne go do świad cze nia. 

W implementacji netfilter ta złożoność zni ka zu pełnie dzię ki iptables. W przy padku 
usługi rutowanej przez firewalla, ale nie kończącej się na hoście lokalnym, po- 
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trzebne są tyl ko dwie re guły w łańcuc hu prze kaz ującym: jed na w jed nym kie runku 
i druga w przeciwnym. Jest to oczywisty sposób tworzenia reguł dla firewalla 
i znacz nie upraszc za je go kon fig ura cję. 

W dokumencie PACKETE-FILTERING-HOWTO znajdziesz szczegółową listę 
zmian, do ko ny wa nych w cza sie two rze nia opro gra mo wa nia, a więc tam szu kaj bar¬ 
dziej prak tycz nych za gad nień związa nych z tym te ma tern. 



Rysun ek9-9. Łańcuch prze twar zania data gram ów w net filt er 


Wstecz na zgod ność z ipfwadm i ipcha ins 

Nie zwykła ela stycz no śćnetfilter w Linuksie uwi dacz nia się w mo żli wo ści emu lo wa- 
nia int er fe ]sówipfwadm i ipchains. Dzię ki emu la cji prze jś cie na opro gra mo wa nie fi re 
wal la no wej ge ne ra cji jest du żo prost sze. 

Dwa mo duły jądra netfilter, zwa ne ipfwadm.o i ipc/zaózs.o,zapewniająkompatybilność 
wsteczną dla ipfwadm i ipchains. Możesz załad o wać tyl ko je den z nich na raz i uży wać 
tyl ko wte dy, gdy mo duł ip_tables.o nie jest załad o wa ny. Gdy od po wied ni mo duł zo- 
sta nie załad o wa ny ,netfilter działa dokład nie tak jak po przed nia im ple men ta cja fi re 
walla. 

netfilter na śla du je in ter fejs ipchains po wyda niu na stę pujących po le ceń: 

rmmod ip_tables 
modprobe ipchains 
ipchains ... 
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Używanieiptables 

Pro gram iptables jest uży wany do kon figuro wania reguł filtrowania netfilter. Jego 
skład nia ma wie le wsp ólnego z ipchains, ale różni się pod jed nym bar dzo szc zególnym 
wzglę dem: jest rozszerzalna. Ozna cza to, że jej funk cjo nal ność mo żna ro sze rzyć bez po- 
now nej kom pi la cji. Służą do te gobi blio te ki dzie lo ne. Ist nieją stan dar do we roz sze 
rze nia, któ re omó wimy za chwi lę. 

Za nim bę dziesz mógł używ ać po lec eniaiptables, mu sisz załad ow ać mo duł jądranef- 
filter nie zbęd ny do je go obsługi. Naj proś ciej zro bisz to za po mocą po lec enia mod- 
probe: 

modprobe ip_tables 

Polecenie iptables jest używane do konfigurowania zarówno filtrowania IP, jak 
itranslacjiadresówsieciowych ( Network Ad dressTranslation ). Aby te mu spro stać, ist¬ 
nie ją dwie ta bli ce re gu l: filter i net . Ta bli ca filter jest uży wa na do my śl nie, je żeli nie 
podasz opcji -t zmie niającej to za cho wa nie. W netfilter udo stęp nio no pięć wbu do wa- 
nychłańcuchów.Łańcuchy INPUT i FORWARDsądostępnedlatablicy/f/fer, a PRERO- 
UTING i POSTROUTlNGsądostępnedlatablicynat,natomiastłańcuchOUTPUT jest 
do stęp ny dla obu ta blic. W tym roz dzia le omó wimy tyl ko ta bli c e filter . Ta bli com net 
przyj rzy my się w roz dzia le 11. 

Ogó Ina skład nia wię ks zości po lec eńiptable sjest na stęp ująca: 

iptables polecenie okreUlenie-reguUy rozszerzenia 

Te raz przyj rżymy się szczegółowo kil ku opcjom, po czym po damy przykłady. 

Polecenia 

Ist nie je sze reg spo sobów ope ro wa nia na re gulach i ich ze sta wach za po mocą po le ce 
nia iptables. Istot ne dla fil tro wa nia IP są na stę pujące: 

-A łańcuch 

Dodanie jednej lub kilku reguł na koniec zadanego łańcucha. Jeżeli zostanie 
poda na na zwa ho sta źródłowego lub do cel owe go, z którą związany jest wię cej 
niż je den ad res IP, reguła zo stan ie do dana do ka żd ego ad resu. 

-I łańcuch num_reguły 

Wsta wie nie jed nej lub kil ku reguł na początku za dan ego łańcuc ha. Znów, je żeli 
w opis ie reguły zo stan ie poda na na zwa ho sta, reguła bę dzie do dana dla ka żd ego 
ad resu IP od pow iadającego temu ho stowi. 

-D łańcuch 

Usu nię cie jed nej lub kil ku reguł z za dan ego łańcuc ha, który ta kie reguły za wiera. 
-D łańcuch num_reguły 

Usu nię cie reguły znaj dującej się na po zyc ji n um_reguOyw za dan ym łańcuc hu. 
Li czen ie reguł za czyna się od 1 w przy padku pierw szej reguły w łańcuc hu. 

-R łańcuch num_reguły 

Zastąpię nie reguły na po zyc ji n um_reguUyw za dan ym łańcuc hu regułą o poda¬ 
nejcharakterystyce. 
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-C łańcuch 

Spraw dze nie za da ny m łańcu chem da ta gra mu opi sa ne go przez regułę. To po le ce 
nie zwr óci ko mu ni kat opi sujący, w jaki spo sób łańcuch prze two rzył da ta gram. 
Jest bar dzo przy dat ne do te sto wa nia kon fi gu ra cji fi re wal la i za chwi lę przyj rży¬ 
my się mu bar dziej szc zegółowo. 

-L[ łańcuch] 

Wylistowanie reguł z zadanego łańcucha lub ze wszystkich łańcuchów, jeżeli 
żad en nie zo stan ie wybrany. 

-F [łańcuch] 

Usuń ięcie reguł z za dan ego łańcuc ha lub ze wszyst kich łańcuch ów, je żeli żad en 
niezostanie wy brany. 

-Z [łańcuch] 

Wy zer owa nie li czn ików bajtówidatagram ów dlawszystkichregułwzadanym 
łańcuc hu lub we wszyst kich łańcuc hach, je żeli żad en nie zo stan ie wybrany. 

-N łańcuch 

Utwór zenie no wego łańcuc ha o za dan ej na zwie. Nie mogą ist nieć łańcuc hy o tej 
sa mej na zwie. W ten sp osób two rzy się łańcuch de fin iowa ny przez uży tk owni ka. 

-X [łańcuch ] 

Usunięcie zadanego łańcuc ha zde fin iowa nego przez użytk owni ka lub wszyst¬ 
kich ta kich łań cuchów, je żeli żad en nie zo stan ie wy brany. Aby to po lec enie za¬ 
działało, nie może być odwołań do usuw ane go łańcuc ha z żadn ych in nych łań¬ 
cuchów reguł. 

-P łańcuch po Utyka 

Usta wie nie do my śl nej po li ty ki dla za da ne go łańcu cha. Do pusz czai ne po li ty ki to 
ACCEPT, DROP, QUEUE i RETURN. ACCEPTpozwalanaprzepuszczeniedatagramu. 
DROP po wo duje, że da ta gram jest od rzu ca ny. QUEUE po wo du je, że da ta gram jest 
przekazywany do przestrzeni użytkownika w celu dalszego przetwarzania. 
RETURN powoduje, że kod firewalla IP wraca do łańcucha, który go wywołał, 
i kon ty nu uje działanie od na stęp nej reguły. 

Pa ram etry definicji reguły 

Istnie je kil ka par ametrów iptables uży wa nych do de fi nio wa nia re guły. Gdy wy ma ga- 
ne jest zde fi nio wa nie re guły, mu si zo stać podana war tość ka ż de go z nich al bo zo staną 
przyjęte wartościdomyślne. 

-p/7 [protokół 

Okres la proto kół da tag ramu, kt óry ma pa sow ać do tej reguły. Do pusze żalne na¬ 
zwy pro tokołów to: tep, udp, iemp lub nu mer, je żeli znasz nu mery pro tokołu 
IP*. Na przykład mógłbyś użyć licz by 4 do okres lenia en kaps ula cji ipip. Gdy¬ 
byś podał znak !, reguła zo stałaby za neg owa na, a da tag ram pa sowałby do każ¬ 
dego pro tokołu poza poda nym. Gdy ten pa ram etr nie zo stanie okreś lony, do- 
myś lnie przy jęte będą wszyst kie pro tokoly. 


Na zwy i nu mery pro tokołów znaj dziesz w pli ku /etc/protocols. 
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-s[!]adres[/maska] 

Okreś la ad res źródłowy da tag ramu, kt óry bę dzie pa sował do tej reguły. Ad res 
może być poda ny w po staci na zwy ho sta, na zwy sie ci lub ad resu IP. Opcjo nalny 
pa ram etr ma s ka de fin iuje ma skę sie ci, któ ra ma być za stos owa na. Może być ona 
poda na w po staci tra dyc yjnej (tj. /255.255.255.0) lub w po staci współcze snej (tj. 
/ 24). 

-d[ !]adres[/maska] 

Określa adres przeznaczenia i port datagramu, który będzie pasował do tej 
reguły. Ko dow anie tego pa ram etru jest ta kie samo jak pa ram etru -s. 

-j cel 

Okre śla, ja kie działanie ma zo stać pod ję te, gdy reguła zo sta nie do pa so wa na. Pa¬ 
ra metr ten możesz so bie przetłuma czyć jako „skocz do" (ang .jump to). Do pusz¬ 
czał ne cele to ACCEPT, DROP, QUEUE i RETURN. Ich znaczenie opisaliśmy wcze¬ 
śniej w sek cji „ Po le ce nia" .Jednakmożeszpodaćtakżena zwę łańcu cha zde f i nio- 
wanego przez użytkownika łańcucha, w którym będzie wykonywane dalsze 
prze twa rza nie. Możesz ta kże po dać cel obsługi wa ny przez roz sze rze nie. Wkrót¬ 
ce opi sze my roz sze rze nia. Je żeli ten pa ra metr zo sta nie po mi nię ty, to je śli da ta- 
gram pa su je do reguły, nie zo sta nie pod ję te żad ne inne działanie oprócz uak tu ał- 
nie nia da ta gra mu i licz ni ków baj tów. 

-i[!]nazwa-interfejsu 

Okreś la in terf ejs, kt óry przyjął da tag ram. Znów znak ! od wraca wy nik do pa so¬ 
wa nia. Je żeli na zwa in terf ejsu ko ńczy się zna kiem +, pa sował bę dzie ka żdy in- 
terf ejs, kt órego na zwa roz poc zyna się za dan ym ciągiem. Na przykład, - i ppp+ 
bę dzie pa sow ać do do woln ego urządzę nia sie ciow ego PPP, a- i ! e t h+ bę dzie 
pa sow ać do wszyst kich urządzeń poza Et hern etem. 

-o[! Inazwa-interfejsu 

Określa interfejs, na który datagram będzie wysłany. Ten argument ma taką 
samą skład nię jak-i. 

[/]-/ 

Mówi, że reguła ta dotyczy tył ko drugiego i dal szych fragmentów da tag ramu. 
Nie do tyc zy pierw szego frag mentu. 

Opcje 

Po niżej po kaz ano bar dziej ogó lne opcjeiptables. Ni ekt óre z nich ste rują ra czej ezot e 
ry cznymi funk cjami oprog ramo wan ia netfilter. 

-v 

Po woduje, że iptoWeswyświetla bogate wyniki. Podawane będzie więcej informacji. 
-n 

Po wod uje, żeiptableswy świet la ad res IP i por ty tył ko jako licz by, nie prób uje za¬ 
mień iać ich na od pow iadające im na zwy. 

Po wod uje, że wszel kie licz by w wy niku iptables są po kaz y wa ne dokład nie, bez 
zaokrąglania. 
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- -numery jwierszy 

Po wod uje, że przy wy świet laniu ze stawów reguł po kaz ywa ne są nu mery wier¬ 
szy. Nu mer wier sza od pow iada po zyc ji reguły w łańcuc hu. 

Rozszerzenia 

Powiedzieliśmy wcześniej, że iptables jest narzędziem rozszerzalnym poprzez 
opcjonal ne mo duły biblio tekdzie lo nych. Istnieją stan dar do we roz sze rze nia udo stęp 
niające funk c]eipchains. Aby z nich sko rzy stać, mu sisz po dać po le ce niu iptables ich 
na zwę po przez argument -m nazwa. Poniższa li sta pokazu je opcje -mi -p okre¬ 
ślające kon tekst roz sze rżeń oraz opcje udo stęp nia ne przez roz sze rze nie. 

Roz szer zenia TCP: używ ane z -m tcp -p tcp 

- -sport [!][port[:port]] 

Okre śla port, z któ re go musi po cho dzić da ta gram, aby pa so wał do reguły. Mo¬ 
żna wy zna czyć pe wien za kres por tów, wy pi sując gór ny i doi ny li mit (na le ży roz- 
dzie lić je dwu krop kiem). Na przykład 2 0:25 ozna cza wszyst kie por ty o nu me 
rach od 20 do 25 włącznie. Znów znak ! może być uży ty do za ne go wa nia war¬ 
tości. 

- -dport[!][port[:port]] 

Okreś la port, do które go musi być skie row any da tag ram, aby pa sowa! do reguły. 
Ar gum ent jest ko dow any ident ycznie jak—sport. 

- -tcp-flags [!] ma ska lista 

Określa, że reguła pa su je, gdy znacz ni ki TCP w da ta gra mie pa sują do okre ślo- 
nych przez maskU i listu, maskatolistarozdzielonychprzecinkamiznaczni- 
ków, któ re po win ny być spraw dzo ne przy prze pro wa dza niu te stu. 1 i s ta to li¬ 
sta oddzielonych przecinkami, znaczników, które muszą być ustawione, aby 
reguła paso wała. Dopuszczalne znacz ni ki to SYN, ACK, FIN, RST, URG, PSH, 
ALL lub NONĘ. Jest to za a wan so wa na opcja. Zaj rżyj do do bre go opi su pro to kołu 
TCP, na przykład do RFC-793, a znaj dziesz tam opis zna cze nia i działania ka ż de 
go z tych znacz ni ków. Znak ! ne gu je regułę. 

[!] -syn 

Po wo du je, że reguła pa su je tyl ko do dat agramów z usta wio ny m bi temS YN i wy ze 
rowanymibitamiACK i FlN.Datagramyztymibitamisąuży wane do otwiera nia 
połączeń TCP i dla te go ta opcja jest uży wa na do obsługi żądań połączeń. Opcja ta 
to skrót od: 

- -tcp-flags SYN, RST,ACK SYN 

Gdy użyj esz oper ato ra ne gac ji, do reguły będą pa sowały wszyst kie da tag ramy, 
które nie mają ustawionych bitów SYN i ACK. 

Roz szer zenia UDP: używ ane z -m udp -p udp 

- -sport[!][port[:port]] 

Okre śla port, z któr ego musi po cho dzić da ta gram, aby pa so wał do reguły. Por ty 
mogą być poda ne jako za kres przez okre śle nie górn ego i doi ne go li mi tu za kre su. 
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które należy rozdzielić dwukropkiem. Na przykład 20:25 oznacza wszystkie 
por ty o nu me rach od 20 do 25 włącznie. Znów znak! może być uży ty do za ne go- 
wania wartości. 

- -dport[!][port[:port]] 

Okreś la port, do które go musi być skie row any da tag ram, aby pa sowa! do reguły. 
Ar gum ent jest ko do wa ny tak samo jak —sport. 

Roz szer zenia ICMP: używ ane z -m icmp -p icmp 

- -icmp-typell] na zwajypu 

Określa typ komunikatuICMP pasującego do reguły. Typ może być określony 
przez nazwę lub numer. Niektóre dopuszczalne nazwy to: echo-request, 
echo-reply,source-ąuench, time-exceeded, destination-unreachab- 
le,network-unreachable,host-unreachable,protocol-unreachable 
iport-unreachable. 

Roz szer zenia MAC: używ ane z -m mac 

- -m ac-so urce[! ] ad res 

Okreś la ad res ho sta Et hern et, kt óry wysłał da tag ram pa sujący do tej reguły. Ma 
to sens jedynie w łańcuchach wejściowym i przekazującym reguły, ponieważ 
wszyst kie da tag ramy, kt óre prze chodzą przez łańcuch wy chodzący, są wysyłane 
przez nas. 

Ko lejna po praw iona wer sja na szego pro stego przykładu 

Aby za im ple men to wać nasz pro sty przykład za po mocą netfilter, mógłbyś załad o wać 
mo duł ipchains.o i wy ko rzy stać skrypt w wer sji dla ipchains. Jed nak za miast te go, za- 
im ple men to wa liś my go, uży wając iptables , by po ka zać, jak bardzo te dwa pro gra my 
są do sie bie po dob ne. 

Zn ów załóżmy, że ma my w fir mie sieć i że używ amy kom put era z Liunk sem ja ko fi- 
rewalla, który pozwala na szym użytk owni kom do staw ać się do serwerów WWW 
w In tern ecie, ale nie prze pusze za in nego ru chu. 

Gdy by na sza sieć miała 24- bitową ma skę (kła sa C) i ad res 172.16.1.0, użył iby śmy na¬ 
stęp ujących re guł iptables: 

# modprobe ip_tables 

# iptables -F FORWARD 

# iptables -P FORWARD DROP 

# iptables -A FORWARD -m tep -p tep -s 0/0 —sport 80 -d 172.16.1.0/24 —syn -j DROP 

# iptables -A FORWARD -m tep -p tep -s 172.16.1.0./24 —sport 80 -d 0/0 -j ACCEPT 

# iptables -A FORWARD -m tep -p tep -d 172.16.1.0/24 —dport 80 -s 0/0 -j ACCEPT 

W tym przykładzie po lec eniaiptables są in terp reto wane dokład nie tak jak ich rów no¬ 
wa żne po lec eniaipchains. Główna różnica po lega na tym, że mu si być załad o wa ny 
mo dulip_tables.o. Za uważ, że iptables nie obsługuje opcji -b, a więc mu simy po dać re 
gułę dla ka żd ego kie runku. 
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Oper owa nie bi tem TOS 

Bity typu usługi (Type of Sernice - TOS) to zestaw czterobitowych znaczników 
w nagłów ku IP. Gdy do wol ny z tych znacz ni ków jest usta wio ny, ru te ry mogą obsłu¬ 
giwać taki datagram inaczej niż datagramy bez ustawionych bitów TOS. Każdy 
z czte rech bi tów ma in ne za da nie, a usta wio ny może być tył ko je den z nich - kom bi- 
nacja jest niedopuszczalna. Znaczniki są nazywane bitami typu usługi, po nie waż 
na ka żują apli ka cji wy syłającej da ne in for mo wać sieć o ty pie wy ma ga nej usługi sie 
ciowej. 

Do stępne kła sy usługsie ciow ych: 

Minimalneopóźnienie 

Uży wa ne, gdy czas po trzeb ny na prze jś cie da ta gra mu od ho sta źródłowe go do 
ho sta do ce lo we go (opóź nie nie) jest bar dzo wa żny. Do staw ca usług sie cio wych 
może na przykład używać zarówno połączeń światłowodowych, jak i satelitar¬ 
nych. Dane prze syłane przez sa te li tę po ko nują dłuższą dro gę, niż w przy pad ku 
sie ci na ziem nej po mię dzy tymi sa my mi punk ta mi i ich opóź nie nie jest dużo wię- 
k sze. Do staw ca usług może spo wo do wać, że da ta gra my z tym ty pem usługi na 
pew no nie będą prze syłane przez sa te li tę. 

Maksymalna prze pustowość 

Uży wa na, gdy wa żna jest licz ba prze syłanych da nych w do wol nym cza sie. Ist¬ 
nie je wie le apli ka cji sie cio wych, dla któ rych opóź nie nie nie jest szcze gól nie wa¬ 
żne, ale prze pu sto wość - tak. Na przykład ma so we prze syłanie pli ków. Do staw- 
ca usług sieciowych może ustawić rutowanie datagramów tego typu usługi 
przez tra sy o du żej prze pu sto wo ści i du żych opóź nie niach, czy li np. połączę nia 
satelitarne. 

Maksymalnaniezawodność 

Używ ana, gdy wa żne jest, byś miał pew ność, że dane dotrą do celu bez po trzeby 
po nown ego prze syłania. Prot okół IP może być prze syłany przez sze reg róż nych 
med iów trans mis yjny ch. Choć SLIP i PPP też się na dają do prze nos zenia IP, nie 
są tak niezawodne jak sieć X.25. Dostawca usług sieciowych może udostępnić 
sieć alternatywną oferującą wysoką niezawodność i przeznaczoną do przesy- 
łania IP, je żeli zo stan ie wy brany ten typ usług. 

Minimalny koszt 

Uży wa ny, gdy wa żne jest zmi ni ma li zo wa nie kosz tu prze syłania da nych. Dzie rż a w ie- 
nie przepusto wo ści na sa te li cie dla połączeń przez oce an jest ogó lnie ta ń sze, niż 
dzie rż awie nie kanału w światłowo dzie na tej sa mej od ległości, a więc do staw cy 
mogą udo stęp niać obie te mo żli wo ści, ale ró żnie li czyć kosz ty połączę nia w za le 
żno ści od tego, kt ór ego me dium uży wasz. W tym sce na riu szu usługa typu„mi ni- 
mal ny koszt" może ozna czać, że da ta gra my będą kie ro wa ne przez ta nie łącze sa¬ 
telitarne. 
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Ustaw ianie bitów TOS za po mocą ipfwadm i ipchai ns 

Polecenia ipfw a dni i ipchains obsługują bi ty TOS pra wie tak sa mo. W obu przy pad- 
kach po da jesz re gułę, do któ rej mają pa so wać da ta gra my z usta wio ny mi od po wied- 
nim i bi ta mi TOS, i uży wasz ar gu men tu-f do okre śle nia zmian, ja kich chcesz do ko nać. 

Zmia ny są okre śla ne za po mocą dwóch ma sek bi to wych. Pierw sza z tych ma sek bi to- 
wych jest pod da wa na ope ra cji lo giez nej AND z po lem opcji IP da ta gra mu, a dru ga jest 
pod da wa na lo giez nej ope ra cji XORz wy ni kiem po przed niej ope ra cji. Może wy da wać 
się to skom pli ko wa ne, ale za chwi lę wy ja śni my, jak włącza się ka żdy z ty pów usług. 

Maski bitowe są określane za pomocą ośmiobiłowych wartości szesnastkowych. 
Zarówno ipfwadm, jak i ipchains uży w ają tej sa mej skład ni przy za pis ywa niu argu¬ 
mentów: 

-t maskaand maskaxor 

Na szczę ście te sa me ma ski mogą być uży wa ne za ka żdym ra zem, gdy chcesz usta wić 
da ny ty p usługi, co za osz czę dzi ci ka żdo ra zo we go ich roz pra co wy wa nia. W ta be li 9-3 
po ka za no je wraz z su ge ro wa ny m za sto so wa niem. 

Tabela9-3. Su gerowaneza stosowa nie ma sek bitowychTOS 


TOS 

MaskaAND 

MaskaXOR 

Sugerowanezastosowanie 

Mi nim alne op óźn ienie 

0x01 

0x10 

ftp, tel net, ssh 

Maksymalna przepustowość 

0x01 

0x08 

ftp-data,www 

Maksymalnaniezawodność 

0x01 

0x04 

snmp, dns 

Mi nim alny koszt 

0x01 

0x02 

nntp, smtp 


Usta wie nie bi tów TOS za po mocą ip ta bies 

Narzędzie iptables pozwala określić reguły, które przechwytują tylko data gramy 
z bi ta mi TOS pa sujący mi do war to ści okre ślo nej wcześniej, za po mocą opcji -m tos. 
Ustawienie bitów TOS datagramów IP pasujących do reguły na stępuje za po mocą 
celu - j TOS .Bity TOS możesz usta wiać tylko w łańcuchach FORWARD i OUTPUT. Do- 
pa so wa nie i usta wie nie są re ali zo wa ne nie za le żnie od sie bie. Możesz skon f i gu ro wać 
wszel kie re guły. Na przykład możesz skon fi gu ro wać re gułę, kt óra od rzu ca wszyst¬ 
kie da ta gra my o pew nych kom bi na cjach bit ów TOS, lub inną, która usta wia bi ty 
TOS da ta gra mu po chodzące go tyl ko z pew nych hos tów. Naj czę ściej bę dziesz uży¬ 
wał re guł, kt óre re ali żują za rów no do pa so wa nie, jak i zmia nę, by za ich po mocą 
tłuma czyć TOS, po dob nie jak możesz to zro bić w ipfwadm i ipchains. 

Zamiastskomplikowanej,wykorzystującejdwiemaski,konfiguracjistosowanejprzez 
ipfwadm i ipchains, iptoWesproponujeprostszerozwiązanie.Polegaononajawnym 
okre śla niu bi tów TOS, któ re po win ny pa so wać, i tych, któ re po win ny być usta wio¬ 
nę. Co wię cej, za miast w war to ściach szes nast ko wych, możesz po dać bi ty TOS za 
po mocą bar dziej przy ja znych mne mo nik, poda nych w po niż szej ta be li. 

Og ólna skład nia uży w ana dodo pas owa nia bi tów TOS wygląda tak: 

-m tos --tos mnemonik [ inne-typy ] -j cel 
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Ogólna skład nia używ ana do ustaw iania bitów TOS jest na stęp ująca: 

[ inne-argumenty] -j TOS --set mnemonik 

Pa mięt aj, że zwy kle po winny być one używ ane ra zem, ale mogą być używ ane nie 
zal eżn ie, je żeli twoja kon fig ura cja te go wy maga. 


Mnemonika 

Wartośćszesnastkowa 

Normal-Service 

0x00 

Minimize-Cost 

0x02 

Maximize-Reliability 

0x04 

Maximize-Throughput 

0x08 

Minimize-Delay 

0x10 


Testowanie konfiguracji firewalia 

Gdy odpowiednio skonfigurowałeś firewall, trzeba sprawdzić, czy rzeczywiście 
działa tak, jak chcesz. Mo żna w tym ce lu sp róbować prze bić się przez fi re wal 1 te sto- 
wym ho stem spo za two jej sie ci. Jest to sposób i nie zręcz ny, i wol ny, a po za tym jest 
ogra ni czo ny do te sto wa nia je dy nie tych adresów, których rze czy wiś cie uży wasz. 

W im plem enta cji fi rew alla w Linuksie do stępna jest szyb sza i prost sza me toda. Po¬ 
zwala ona na ręcz ne ge ner owa nie te stów i uruc hami anie ich z kon fig ura cją fi rew alla 
tak, jak byś te sto wał rze czy w iste da tag ramy. Wszyst kie od miany oprog ramo wan ia 
firewalia w Linuksie, ipfwadm, ipchains i iptaWes,udostępniajątegotypu testowanie. 
Im plem enta cja wy ko rzy stu je poleceni echeck. 

Ogólna pro ced ura te stówa wygląda na stęp ująco: 

1. Za proj ektuj i skon fig uruj fi re wali, uży wając ipfwadm , ipchains lub iptables. 

2. Przy go tuj se rię te stów, kt óre po każą, czy twój fi re wali rze czy wiś cie działa tak, 
jak chciałeś. Do tych testów możesz użyć dowolnych adresów źródła i prze¬ 
znaczę nia, a więc wy bierz jakąś mie szan kę adr esów, któ re będą mogły być przy ję¬ 
te i które po winny być od rzu co ne. Je żeli prze pusz czasz i od rzu casz dane za kre sy 
ad res ów, do brze jest te sto wać ad re sy z obu stron ogra ni czeń, tzn. je den ad res ze 
śród ka za kre su i je den spo za nie go. Po może to upew nić się, że masz skon fi gu ro- 
wa ne po prawne ogra ni cze nia, po nie waż cza sem zda rza się podać wkonfi gu ra cji 
niepoprawną maskę. Jeżeli filtrujesz według numerów protokołów i portów, 
twoje testy powinny również uwzględniać wszystkie istotne kombinacje tych 
parametrów. Na przykład, jeżeli zamierzasz przyjmować tylko pakiety TCP 
w pe w nych wa run kach, spraw dzaj, czy pa kie ty UDP są od rzu ca ne. 

3. Wykorzystajregułyip/rofldm, ipchains lub ipfaWesdoimplementacjikażdegotestu. 
Na pew no war to za pi sać wszyst kie reguły w skryp cie, tak byś mógł łatwo po wta- 
rzać te sty, gdy zro bisz błąd lub zmie nisz bu do wę. Te sty wy ko rzy stują pra wie tę 
samą skłądnię co reguły, ale ar gu men ty mają nie co inne zna cze nie. Na przykład 
ar gu ment ad re su źródłowe go w re gu le okre śla ad res źródłowy, któ ry po wi nien 
mieć da ta gram, by paso wać doda nej reguły. Ad res źródłowy w skład ni te sto wej 
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dla od mia ny ozna cza ad res źródłowy da ta gra mu te sto we go, któ ry zo sta nie wy 
ge nerowany.Wprzy pad ku fp/ioadm mu sisz użyć opcji -c,by okre ślić, że to po le- 
ce nie jest te sto we, na to miast w ipchains i iptables ro bisz to za po mocą opcji -C.We 
wszyst kich przy pad kach mu sisz zawsze poda wać ad res źródłowy, ad res do ce Io¬ 
wy, pro to kół i in ter fejs, któ re mają być uży te w te ście. Inne ar gu men ty, ta kie jak 
nu me ry por tów czy usta wie nie bi tów TOS, są opcjo nal ne. 

4. Wy ko naj ka ż de po le ce nie te sto we i za pisz wy nik. Wy nik ka ż de go te stu bę dzie 
miał postać jed ne go słowa wska żującego osta tęcz ne prze zna cze nie da ta gra mu 
po przejściu przez konfigurację firewalla - to znaczy po zakończeniu przetwa¬ 
rzania. W przy pad ku ipchains i iptables, poza łańcu cha mi wbu do wa ny mi, będą te 
sto wa ne łańcu chy de f i nio wa ne przez uży t kow ni ka. 

5. Poro wnaj wy nik ka ż de go te stu z ocze ki wa nym re zul ta tern. Je żeli wi dzisz ja kies 
ró żni ce, mu sisz prze ana li zo wać swój ze staw reguł, by stwier dzić, gdzie zro biłeś 
błąd. Je żeli za pi sałeś po le ce nia te sto we w skryp cie, możesz łatwo powtórzyć test 
po po pra wie niu wszel kich błędów w kon fi gu ra cji fi re wal la. Do brze jest zupełnie 
ska so wać ze staw reguł i stwo rzyć je od nowa, a nie do ko ny wać zmian dy na micz- 
nie. Po ma ga to upe w nić się, że ak ty w na kon fi gu ra cja, którą te stu jesz, rze czy wiś cie 
od z wier cie dla ze staw po le ceń w two im skryp cie kon fi gu ra cyj nym. 

Przyj rżyj my się, jak może wyglądać za pis ręcz ne go te sto wa nia na sze go przykładu 
w przypadku ipchains. Pamiętasz, że nasza przykładowa sieć lokalna ma adres 
172.16.1.0 i maskę sieciową 255.255.255.0, i że pozwoliliśmy na realizowanie po¬ 
łączeń do ser we rów WWW w sie ci. Nic wię cej nie po win no prze cho dzić przez nasz 
łańcuch prze ka zy wa nia. Roz pocz nij my od te sto wa nia te go, o czym wie my, że po- 
win no działać - połączę nia z lo kal ne go ho sta do ser we ra WWW na ze wnątrz: 

# ipchains -C forward -p tcp -s 172.16.1.0 1025 -d 44.136.8.2 80 -i ethO 

accepted 

Zwr óć uwagę, które ar gum enty muszą być poda ne i w ja ki sp osób zo stały użyte do 
opisania datagramu. Wynik polecenia wskazuje, że datagram został przyjęty do 
przekazania,czylijestzgodnyznaszymioczekiwaniami. 

Te raz sp róbujmy in nego te stu; tym ra zem ad res źr odłowy nie na leży do na szej sie ci. 
Pa kiet nie po win ien prze jść: 

# ipchains -C forward -p tcp -s 172.16.2.0 1025 -d 44.136.8.2 80 -i ethO 

denied 

Zróbmy kilka innych testów, tym razem z kilkoma szczegółami identycznymi 
z pierwszym testem, ale innymi protokołami. Te pakiety też nie powinny zostać 
przepuszczone. 

# ipchains -C forward -p udp -s 172.16.1.0 1025 -d 44.136.8.2 80 -i ethO 

denied 

# ipchains -C forward -p icmp -s 172.16.1.0 1025 -d 44.136.8.2 80 -i ethO 

denied 

Spraw dźmy in ny port do cel owy. Zn ów oczek uje my, że pa kiet zo stan ie od rzuć ony: 

# ipchains -C forward -p tcp -s 172.16.1.0 1025 -d 44.136.8.2 23 -i ethO 

denied 
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Mu sisz prze być długą dro gę, za nim uspok oisz swo je my śli, wy kon ująć sze reg wy¬ 
czerp ujących testów. Choć cza sem może to być ró wnie trud ne jak skon fi gurowanie 
fi rew alla, jest to naj leps zy spo sób, by wie dzieć, że twój pro jekt za pewn ia naj leps ze 
bez piec zeńs two, ja kiego możesz oczek iwać. 

Przykładowakonfiguracja firewalla 

Omówiliśmy podstawowekonfiguracje fi rew alla. Przyj rżyjmy się, jak w prak tyce 
ta ka kon figura cja może wyglądać. 

Konfiguracja po ka za na w tym przykładzie zo stała za pro jek to wa na tak, by było ją 
łatwo rozbudować i dostosować do własnych potrzeb. Pokazaliśmy trzy wersje. 
Pierwsza jest zaimplementowana za pomocą polecenia ipfwadm (lub skryptu 
fp/zcadm-rorapper),druga wykorzystuje ipchains, a trze cia iptables. Przykłady nie wy¬ 
ko rzy stują łańcu chów de fi nio wa nych przez uży t kow ni ka, ale po ka żują po do bie li¬ 
stwa i róż ni ce po mię dzy sta ry mi i no wy mi skład nia mi na rzę dzi do kon fi gu ra cji fi re 
walla: 

#!/bin/bash 

############################################################## 

# WERSJA IPFWADM 

# Ta przykładowa konfiguracja jest przeznaczona dla jednego 

# hosta i nie uwzglłdnia usług oferowanych przez sam komputer, 

# na którym działa firewall. 

############################################################## 

# CZłłł DO KONFIGURACJI PRZEZ UłYTKOWNIKA 

# Nazwa i lokalizacja programu ipfwadm. Ułyj ipfwadm-wrapper 

# w przypadku jłder 2.2.* 

IPFWADM=ipfwadm 

# łciełka do pliku wykonywalnego ipfwadm 
PATH="/sbin" 


# Przestrzeł adresowa naszej sieci wewnłtrznej i urzłdzenie jł obsługujłce 
OURNET="172.29.16.0/24" 

OURBCAST="172.29.16.255" 

OURDEV="ethO" 

# Adres zewnłtrzny i urzłdzenie sieciowe go obsługujłce 
ANYADDR="0/0" 

ANYDEV="ethl" 

# Usługi TCP, które chcemy przepuszczał - "" puste oznacza wszystkie porty 

# uwaga: oddzielone spacjł 
TCPIN="smtp www" 

TCPOUT="smtp www ftp ftp-data irc" 

# Usługi UDP, które chcemy przepuszczał - 

# uwaga: oddzielone spacjł 
UDPIN="domain" 

UDPOUT="domain" 


puste oznacza wszystkie porty 
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# Usćugi ICMP, które chcemy przepuszczać - "" puste oznacza wszystkie typy 

# numery typów usćug znajdziesz w pliku /usr/include/netinet/ip_icmp.h 

# uwaga: oddzielone spacjC 
ICMPIN="0 3 11" 

ICMPOUT="8 3 11" 

# Logowanie; usuD komentarz z poniOszego wiersza, by wCCczyć 

# zapisywanie datagramów, które nie sO przepuszczane przez 

# firewall 

# LOGGING=l 

# KONIEC CZCUCI KONFIGUROWALNEJ PRZEZ UŻYTKOWNIKA 

############################################################## 

# Usuni cie tablicy reguć przychodzćcych 
$IPFWADM -I -f 

# Chcemy domy lnie odrzucać ruch przychodzćcy 
$IPFWADM -I -p deny 

# PODSZYWANIE SlD (SPOOFING) 

# Nie powinnićmy przyjmować datagramów, które majć adres 

# Cródćowy z naszej sieci, ale pakiet przychodzi z 

# zewnćtrz, a wićc go odrzucamy 
$IPFWADM -I -a deny -S $OURNET -W $ANYDEV 

# SMURF 

# Zabraniamy wysćania pakietów ICMP na nasz adres 

# rozgćoszeniowy, by zapobiec atakowi typu "Smurf" 

$IPFWADM -I -a deny -p icmp -W $ANYDEV -D $OURBCAST 

# TCP 

# Bćdziemy przyjmowali wszystkie datagramy TCP nalećJce do 

# istniejćcego poććczenia (tj. posiadajdce ustawiony bit ACK) 

# z portem TCP, który przepuszczamy. Powinno to objćć 

# ponad 95 % wszystkich poprawnych pakietów TCP. 

$IPFWADM -I -a accept -P tcp -D $OURNET STCPIN -k -b 

# TCP - POĆĆCZENIA PRZYCHODZĄCE 

# Bćdziemy przyjmowali ĆLdania poććczeć z zewnćtrz tylko na 

# dozwolone porty TCP 

$IPFWADM -I -a accept -P tcp -W $ANYDEV -D $OURNET $TCPIN -y 

# TCP - POĆĆCZENIA WYCHODZCCE 

# Przyjmujemy wszystkie ććdania wychodzćcych poćJczeCI tcp na 

# dozwolone porty TCP. 

$IPFWADM -I -a accept -P tcp -W $OURDEV -D $ANYADDR $TCPOUT -y 

# UDP - PRZYCHODZĄCE 

# Przepuszczamy wszystkie datagramy UDP przychodzćce na 

# dozwolone porty 

$IPFWADM -I -a accept -P udp -W $ANYDEV -D $OURNET $UDPIN 

# UDP - WYCHODZĄCE 

# Przepuszczamy wszystkie datagramy UDP wychodzćce na 

# dozwolone porty 

$IPFWADM -I -a accept -P udp -W $OURDEV -D $ANYADDR $UDPOUT 

# ICMP - PRZYCHODZĄCE 

# Przepuszczamy wszystkie przychodzćce datagramy ICMP o 

# dopuszczalnych typach 
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$IPFWADM -I -a accept -P icmp -W $ANYDEV -D $OURNET $ICMPIN 

# ICMP - WYCHODZDCE 

# Przepuszczamy wszystkie wychodzżce datagramy ICMP o 

# dopuszczalnych typach 

$IPFWADM -I -a accept -P icmp -W $OURDEV -D $ANYADDR $ICMPOUT 

# DEFAULT i LOGGING 

# Wszystkie pozostaże datagramy trafiajż do reguży domyżlnej i 

# sż odrzucane. Jeżeli skonfigurujesz wczeżniej zmiennż 

# LOGGING, bżdż one zapisywane. 

# 

if [ "$LOGGING" ] 
then 

# Zapisywanie odrzuconych pakietów TCP 
$IPFWADM -I -a reject -P tcp -o 

# Zapisywanie odrzuconych pakietów UDP 
$IPFWADM -I -a reject -P udp -o 

# Zapisywanie odrzuconych pakietów ICMP 
$IPFWADM -I -a reject -P icmp -o 

fi 

# 

#end. 


Te raz za im ple men tu je my to sa mo za po mocą po le ce niaipchains: 

#!/bin/bash 

############################################################## 

# WERSJA IPCHAINS 

# Ta przykładowa konfiguracja jest przeznaczona dla jednego 

# hosta i nie uwzglDdnia usDug oferowanych przez sam komputer, 

# na którym dziaDa firewall. 

############################################################## 

# CZDDD KONFIGUROWALNA PRZEZ UŻYTKOWNIKA 

# Nazwa i lokalizacja programu ipchains. 

IPCHAINS=ipchains 

# Dcieżka do pliku wykonywalnego ipchains 
PATH='7sbin" 

# Przestrzeż adresowa naszej sieci wewnżtrznej i urzżdzenie jż obsżugujżce 
OURNET="172.29.16.0/24" 

OURBCAST="172.29.16.255" 

OURDEV="ethO" 

# Adres zewnżtrzny i urzżdzenie sieciowe go obsżugujżce 
ANYADDR="0/0" 

ANYDEV="ethl" 

# Usżugi TCP, które chcemy przepuszczaż - "" puste oznacza wszystkie porty 

# uwaga: oddzielone spacjż 
TCPIN="smtp www" 

TCPOUT="smtp www ftp ftp-data irc" 

# Usżugi UDP, które chcemy przepuszczaż - "" puste oznacza wszystkie porty 
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# uwaga: oddzielone spacjJ 
UDPIN="domain" 

UDPOUT="domain" 

# UsDugi ICMP, które chcemy przepuszczaj - "" puste oznacza wszystkie typy 

# numery typów usDug znajdziesz w pliku 

# /usr/include/netinet/ip_icmp.h 

# uwaga: oddzielone spacjU 
ICMPIN="0 3 11" 

ICMP0UT="8 3 11" 

# Logowanie; usuD komentarz z poniOszego wiersza, by wUDczyO 

# zapisywanie datagramów, które nie sD przepuszczane przez 

# firewall 

# LOGGING=l 

# KONIEC CZLLCI KONFIGUROWALNEJ PRZEZ UDYTKOWNIKA 

############################################################## 

# UsunijDcie tablicy reguD przychodzDcych 
$IPCHAINS -F input 

# Chcemy domyUlnie odrzucaD ruch przychodzDcy 
$IPCHAINS -P input deny 

# PODSZYWANIE SID (SPOOFING) 

# Nie powinniUmy przyjmowaD datagramów, w których adres 

# DródDowy jest z naszej sieci, ale pakiet przychodzi z 

# zewnDtrz, a wiDc go odrzucamy 

$IPCHAINS -A input -s $OURNET -i $ANYDEV -j deny 

# SMURF 

# Zabraniamy wysUania pakietów ICMP na nasz adres 

# rozgDoszeniowy, by zapobiec atakowi typu "Smurf" 

$IPCHAINS -A input -p icmp -w $ANYDEV -d $OURBCAST -j deny 

# Powinnidmy przyjmowafl.'-fragmenty, w ipchains musimy to 

# zadeklarować jawnie 
$IPCHAINS -A input -f -j accept 

# TCP 

# BUdziemy przyjmowali wszystkie datagramy TCP naleDJce do 

# istniejącego poUDczenia (tj. posiadajJce ustawiony bit ACK) 

# z portem TCP, który przepuszczamy. Powinno to objJJ 

# ponad 95 % wszystkich poprawnych pakietów TCP. 

$IPCHAINS -A input -p tcp -d $OURNET $TCPIN ! -y -b -j accept 

# TCP - POLECZENIA PRZYCHODZDCE 

# BUdziemy przyjmowali ULdania poJUczeU z zewnUtrz tylko na 

# dozwolone porty TCP 

$IPCHAINS -A input -p tcp -i $ANYDEV -d $OURNET $TCPIN -y -j accept 

# TCP - PODUCZENIA WYCHODZUCE 

# Przyjmujemy wszystkie JDdania wychodźJcych poUJczeU tcp na 

# dozwolone porty TCP. 

$IPCHAINS -A input -p tcp -i $OURDEV -d $ANYADDR $TCPOUT -y -j accept 

# UDP - PRZYCHODZDCE 

# Przepuszczamy wszystkie datagramy UDP przychodzDce na 

# dozwolone porty 

$IPCHAINS -A input -p udp -i $ANYDEV -d $OURNET $UDPIN -j accept 
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# UDP - WYCHODZĄCE 

# Przepuszczamy wszystkie datagramy UDP wychodzLkse na 

# dozwolone porty 

$IPCHAINS -A input -p udp -i $OURDEV -d $ANYADDR $UDPOUT -j accept 

# ICMP - PRZYCHODZĄCE 

# Przepuszczamy wszystkie przychodzące datagramy ICMP o 

# dopuszczalnych typach 

$IPCHAINS -A input -p icmp -w $ANYDEV -d $OURNET $ICMPIN -j accept 

# ICMP - WYCHODZĄCE 

# Przepuszczamy wszystkie wychodzĄce datagramy ICMP o 

# dopuszczalnych typach 

$IPCHAINS -A input -p icmp -i $OURDEV -d $ANYADDR $ICMPOUT -j accept 

# DEFAULT i LOGGING 

# Wszystkie pozostaDe datagramy trafiajĄ do reguDy domyĄlnej i 

# sQ odrzucane. JeDeli skonfigurujesz wczeDniej zmiennĄ 

# LOGGING, bOdĄ one zapisywane. 

# 

if [ "$LOGGING" ] 
then\ 


# Zapisywanie odrzuconych pakietów TCP 
$IPCHAINS -A input -p tcp -1 -j reject 

# Zapisywanie odrzuconych pakietów UDP 
$IPCHAINS -A input -p udp -1 -j reject 

# Zapisywanie odrzuconych pakietów ICMP 
$IPCHAINS -A input -p icmp -1 -j reject 

fi 

# 

#end. 


W naszym przykładzie iptables przeszliśmy na korzystanie z re guły FORWARD, ze 
wzglę du na różnicę w zna czen iu ze stawu re guł IN PU T w im plem enta ji netfilter. Jest 
to dla nas istot ne; ozna cza, że żadna z re guł nie bro ni sa mego ho sta fi rew alla. Aby 
dokładnie naśladować przykład ipchains, skopiujemy każdą z naszych reguł do 
łańcucha INPUT. Dla jasności odrzuciliśmy wszystkie przychodzące datagramy 
odeb ranę pozę wn ętrznej stro nie na szego in terf ejsu. 

#!/bin/bash 

############################################################## 

# WERSJA IPTABLES 

# Ta przykładowa konfiguracja jest przeznaczona dla jednego 

# hosta i nie uwzglDdnia usDug oferowanych przez sam komputer, 

# na którym dziaDa firewall. 

############################################################## 

# CZDDD KONFIGUROWALNA PRZEZ UŻYTKOWNIKA 

# Nazwa i lokalizacja programu iptables. 

IPTABLES=iptables 

# Dcieżka do pliku wykonywalnego ipchains 
PATH="/sbin" 
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# PrzestrzeD adresowa naszej sieci wewnDtrznej i urzDdzenie jD 

# obsDugujDce 
OURNET= M 172.29.16.0/24" 

OURBCAST="172.29.16.255" 

OURDEV="ethO M 

# Adres zewnDtrzny i urzDdzenie sieciowe go obsDugujDce 
ANYADDR=" 0 / 0 " 

ANYDEV="ethl" 

# UsDugi TCP, które chcemy przepuszczaD - "" puste oznacza wszystkie porty 

# uwaga: oddzielone przecinkami 
TCPIN="smtp,www" 

TCPOUT="smtp,www,ftp,ftp-data,irc" 

# UsDugi UDP, które chcemy przepuszczaD - "" puste oznacza wszystkie porty 

# uwaga: oddzielone przecinkami 
UDPIN="domain" 

UDPOUT="domain n 

# UsDugi ICMP, które chcemy przepuszczaD - "" puste oznacza wszystkie typy 

# numery typów usDug znajdziesz w pliku 

# /usr/include/netinet/ip_icmp.h 

# uwaga: oddzielone przecinkami 
ICMPIN="0,3,11" 

ICMPOUT="8,3,11" 

# Logowanie; usuD komentarz z poniDszego wiersza, by wDDczyD 

# zapisywanie datagramów, które nie sD przepuszczane przez 

# firewall 

# LOGGING=l 

# KONIEC CZDDCI KONFIGUROWALNEJ PRZEZ UDYTKOWNIKA 

############################################################## 

# UsuniDcie tablicy reguD przychodzDcych 
$IPTABLES -F FORWARD 

# Chcemy domyDlnie odrzucaD ruch przychodzDcy 
$IPTABLES -P FORWARD deny 

# Odrzucamy wszystkie datagramy pochodzDce z zewnDtrz i 

# przeznaczone dla tego hosta 
$IPTABLES -A INPUT -i $ANYDEV -j DROP 

# PODSZYWANIE SID (SPOOFING) 

# Nie powinniDmy przyjmowaD datagramów, w których adres 

# DródDowy jest z naszej sieci, ale pakiet przychodzi z 

# zewnDtrz, a wiDc go odrzucamy 

$IPTABLES -A FORWARD -s $OURNET -i $ANYDEV -j DROP 

# SMURF 

# Zabraniamy wysDania pakietów ICMP na nasz adres 

# rozgDoszeniowy, by zapobiec atakowi typu "Smurf" 

$IPTABLES -A FORWARD -m multiport -p icmp -i $ANYDEV -d $OURBCAST -j DENY 

# PowinniDmy przyjmowaD fragmenty, w iptables musimy to 

# zadeklarowaD jawnie 

$IPTABLES -A FORWARD -f -j ACCEPT 


# TCP 
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# BDdziemy przyjmowali wszystkie datagramy TCP naleDDce do 

# istniejącego poCDczenla (tj . posiadaJOce ustawiony bit ACK) 

# z portem TCP, który przepuszczamy. Powinno to obj; 

# ponad 95 % wszystkich poprawnych pakietów TCP. 

$IPTABLES -A FORWARD -m multiport -p tcp -d $OURNET —dports $TCPIN / 

! —tcp-flags SYN,ACK ACK -j ACCEPT 
$IPTABLES -A FORWARD -m multiport -p tcp -s $OURNET —sports $TCPIN / 

! —tcp-flags SYN,ACK ACK -j ACCEPT 

# TCP - POUCZENIA PRZYCHODZĄCE 

# BDdziemy przyjmowali DDdania poDDczeD z zewnDŁrz tylko na 

# dozwolone porty TCP 

$IPTABLES -A FORWARD -m multiport -p tcp -i $ANYDEV -d $OURNET $TCPIN / 
— syn -j ACCEPT 

# TCP - PODUCZENIA WYCHODZDCE 

# Przyjmujemy wszystkie Udania wychodzUcych poDDczeO tcp na 

# dozwolone porty TCP. 

$IPTABLES -A FORWARD -m multiport -p tcp -i $OURDEV -d $ANYADDR / 

—dport $TCPOUT --syn -j ACCEPT 

# UDP - PRZYCHODZDCE 

# Przepuszczamy wszystkie datagramy UDP przychodzDce na 

# dozwolone porty 

$IPTABLES -A FORWARD -m multiport -p udp -i $ANYDEV -d $OURNET / 

—dports $UDPIN -j ACCEPT 

$IPTABLES -A FORWARD -m multiport -p udp -i $ANYDEV -s $OURNET / 

—sports $UDPIN -j ACCEPT 

# UDP - WYCHODZDCE 

# Przepuszczamy wszystkie datagramy UDP wychod&Dce na 

# dozwolone porty 

$IPTABLES -A FORWARD -m multiport -p udp -i $OURDEV -d $ANYADDR / 

—dports $UDPOUT -j ACCEPT 

$IPTABLES -A FORWARD -m multiport -p udp -i $OURDEV -s $ANYADDR / 

—sports $UDPOUT -j ACCEPT 

# ICMP - PRZYCHODZDCE 

# Przepuszczamy wszystkie przychodzDce datagramy ICMP o 

# dopuszczalnych typach 

$IPTABLES -A FORWARD -m multiport -p icmp -i $ANYDEV -d $OURNET / 

—dports $ICMPIN -j ACCEPT 

# ICMP - WYCHODZDCE 

# Przepuszczamy wszystkie wychodzDce datagramy ICMP o 

# dopuszczalnych typach 

$IPTABLES -A FORWARD -m multiport -p icmp -i $OURDEV -d $ANYADDR / 

—dports $ICMPOUT -j ACCEPT 

# DEFAULT i LOGGING 

# Wszystkie pozostaDe datagramy trafiajD do reguDy domyDlnej i 

# sB' odrzucane. JeDeli skonfigurujesz wczeDniej zmiennD 

# LOGGING, bDdO one zapisywane. 

# 

if [ "$LOGGING" ] 
then 

# Zapisywanie odrzuconych pakietów TCP 
SIPTABLES -A FORWARD -m tcp -p tcp -1 -j LOG 
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# Zapisywanie odrzuconych pakietów UDP 
$IPTABLES -A FORWARD -m udp -p udp -1 -j LOG 

# Zapisywanie odrzuconych pakietów ICMP 
$IPTABLES -A FORWARD -m icmp -p icmp -1 -j LOG 

fi 

# 

#end. 


W wie lu pro stych sy tu acjach, aby sko rzy stać z po ka za nych przykład ów, wy star czy 
do ko nać edy cji początko wej czę ści skryp tu za tu tyłowanej „CZĘŚĆ DO KON FI GU- 
RA CJI PRZEZ UŻYT KOW NI KA", aby okre ślić, któ re pro to koły i ty py da ta gra mów 
chcesz przepuszczać w obie strony. Przy bardziej złożonych konfiguracjach bę¬ 
dziesz mu siał do ko nać ta kże edy cji po zo stałej czę ści skryp tu. Pa mię taj - jest to pro¬ 
sty przykład, a więc pod czas je go im ple men ta cji prze ana li zuj gobar dzo uwa żnie, by 
ro bił to, co chcesz. 




W świecie komercyjnych usług internetowych coraz ważniejsza staje się wiedza 
o tym, ile da nych wy syłasz i ile od bier asz przez swoje połączę nia sie ciowe. Przy da ci 
się, je żeli je steś do stawcą usług in tern eto wych i wy staw iasz ra chunki swo im klien¬ 
tom według iloś ci przesłanych da nych. Na to miast jeżeli je steś klien tern do stawcy 
usług, który ob ciąża cię według iloś ci przesłanych da nych, war to sa me mu zbie rac 
da ne, aby spraw dzać ra chunki wy staw iane przez do stawcę. 

Są jesz cze in ne za stos owa nia li czen ia ru chu, nie mające nic wspólnego z pie niędz mi 
ani ra chunk ami. Je żeli zarządzasz ser wer em, któ ry udos tępnia różne ty py usług sie 
ciow ych, przy datna może być wie dza o tym, ile da nych ge ner uje ka żda z nich. Te go 
ty pu in form acje mogą ci pomóc przy po dejm owa niu de cyz ji o tym, ja ki sprzęt ku pić 
lub ile serwerów uruc homić. 

Jądro Linuk sa udos tępnia funk cję po zwal ającą zbie rać wszel kiego ro dzaju przy datne 
in form acje o ru chu sie ciow ym. Funk cja ta to liczeń ie ru chu IP (ang. IPaccoun ting). 

Konfigurowanie jądra do liczenia ruchu IP 

Funk cja li czen ia ru chu IP w Linuksie jest bli sko związa na z oprog ramo wan iem fi- 
rewalla. Miejsca, z których chcesz zbie rać dane rozliczeni owe, to te same miejsca, 
które in ter esują cię przy fil trow aniu przez fi rew all: we jśc ie i wy jśc ie z ho sta do sie c i 
oraz oprog ramo wan ie ru tujące da tag ramy. Je żeli jesz cze nie prze czytałeś roz działu 
o fi rew alla ch, to te raz jest do skonały moment,żebytozrobićoraz wy kor zy st ać kil ka 
po jęć opis any ch w roz dziale 9 ,FirezvallTCP/IP. 

Aby włączyć funk cję li cze nia ru chu IP w Linuksie, po wi nie neś naj pierw zo ba czyć, 
czy jądro jest odpowiednio skonfigurowane. Sprawdź, czy istnieje plik /proc/net/ 
ip_acct. Je żeli ist nie je, two je jądro już obsługu je li cze nie ru chu IP. Je żeli nie ist nie je, 
mu sisz skom pi lo wać jądro od no wa, pil nując, byś od po wie dział „ Y" na po niż sze py 
ta nia w jądrach se rii 2.0 i 2.2. 
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Networking options > 

[*] Network firewalls 
[*] TCP/IP networking 

[*] IP: accounting 

lub w jądrach se rii 2.4: 

Networking options > 

[*] Network packet filtering (replaces ipchains) 

Konfigurowanieliczenia ruchulP 

Po nie waż usługa li cze nia ru chu IP jest ściś le związa na z fi re wal lem IP, do jej kon fi¬ 
gurowa nia służą te sa me na rzę dzia, czy li ipfwadm, ipchains lub iptables. Skład nia po¬ 
lecenia jest bardzo podobna jak w przypadku reguł firewalla, a więc nie będzie¬ 
my się na niej sku piać, a omó wimy to, cze go możesz się do wie dzieć o swo jej sie ci, 
używając tej funkcji. 

Ogól na skład nia po lec enia liczące go ruch IP dla ipfwadm jest na stęp ująca: 

# ipfwadm -A [kierunek] [polecenie] [parametry] 

Nowyjestargumentkierunku.Przyjmujeonjednązwartości in, out lub both. Są to 
kie run ki ru chu z punk tu wi dze nia sa me go kom pu te ra z Linuk sem, a więc i n ozna cza 
da ne przy chodzące z sie ci do kom pu te ra, a out ozna cza da ne wy syłane przez hos ta 
do sie ci. Kie ru nekb o t h sta no wi su mę da nych przy chodzących i wy chodzących. 

Ogólna skład nia po lec enia dla ipchains i iptables jest na stęp ująca: 

# ipchains -A BaBcuch definicja-reguBy 

# iptables -A BaBcuch definicja-reguBy 

Polecenia ipchains i iptables pozwalają określić kie runek w sposób bar dziej spójny 
z regułami firewalla. Łańcuchy IP nie pozwalają na konfigurowanie reguł, które 
obejmują oba kierunki, ale dopuszczają skonfigurowaniereguł w łańcuchu for- 
wa r d, co nie było mo żliwe w star szej im plem enta cji. W kil ku przykład ach po kaz a- 
ny ch da lej zo ba czy my, co z te go wy nikn ie. 

Pole cen ia są w du żym stop niu ta kie same jak w re gulach fi rew alla, z tą ró ż nicą, że nie 
używa się tu po lit yk. Możemy do daw ać, wsta wiać, usuw ać i li stów ać re gu ły liczeń ia 
ru chu. W przy padku ipchains i iptables do puszcza lne są tyl ko re guły li czenia ruchu, 
a wszel kie po lec enia nie za wier ające opcji —j re aliz ują je dyn ie li czen ie ruchu. 

ParametrywdefinicjiregułyliczeniaruchuIPsąidentycznezużywanymidlafirew al¬ 
la IP. Za ich po mocą de fi niu je my dokład nie, ja ki ruch sie cio wy chce my li czyć. 

Li czen ie według ad resu 

Na przykładzie po każ emy, jak ko rzy sta się z funkcji li cze nia ru chu IP. 

Wy obraź so bie, że ma my ru ter oparty na Linuksie, który obsługuje dwa wy działy 
bro waru wir tua lne go. Ru ter ma dwa urządzę nia Et hern et ,ethO i ethl, z kt órych ka ż- 
de obsługuje je den wy dział, oraz urządzę nie PPP, pppO, które łączy nas za po mocą 
szyb kiego łącza sze reg owe go z główn ym cam pus em uniw ersy tetu Gro ucho Marx. 
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Wyobraźmy sobie ró wnież, że dla celów roz lic żeni owych chce my znać całko wity 
ruch generowany przez każdy wydział podłączony przez łącze szeregowe, a dla 
celów zarządzania chce my znać całko wity ruch ge ner owany pomiędzy wy działami. 
Po niżs za ta bela po kaz uje ad resy in ter fejsów, kt óry ch będzie my uży w ać w na szym 
przykładzie: 


iface 

adres 

maskasieci 

ethO 

172.16.3.0 

255.255.255.0 

ethl 

172.16.4.0 

255.255.255.0 


Aby od pow iedz ieć na py ta nie: „Jak du żo da nych na łączu PPP ge ner uje ka żdy wy¬ 
dział ?", po winn iśmy użyć na stęp ujące go zestawu re guł: 

# ipfwadm -A both -a W pppO -S 172.16.3.0/24 -b 

# ipfwadm -A both -a W pppO -S 172.16.4.0/24 -b 

lub 

# ipchains -A input -i pppO -d 172.16.3.0/24 

# ipchains -A output -i pppO -s 172.16.3.0/24 

# ipchains -A input -i pppO -d 172.16.4.0/24 

# ipchains -A output -i pppO -s 172.16.4.0/24 

i w przy padku iptables: 

# iptables -A FORWARD -i pppO -d 172.16.3.0/24 

# iptables -A FORWARD -o pppO -s 172.16.3.0/24 

# iptables -A FORWARD -i pppO -d 172.16.4.0/24 

# iptables -A FORWARD -o pppO -s 172.16.4.0/24 

Pierwsza połowa każdego z tych zestawów mówi: „Licz wszystkie dane prze¬ 
chodzące w obu kie run kach przez in ter fejs o na zwie ppp 0 z ad re sa mi źr ódlowym 
lub docelowym (pamiętaj o funkcji -b w przypadku ipfwadm i ipchains) 
172.16.3.0/24". Druga połowa każ de go ze stawu reguł jest ta kasa ma, ale do ty¬ 
czy dru giej sie ci Et her net. 

Aby od pow iedz ieć na dru gie py ta nie: „Ile da nych jest prze syłanych po międ zy dwu 
ma wy działami?", po trzeb uje my na stęp ujących re guł: 

# ipfwadm -A both -a -S 172.16.3.0/24 -D 172.16.4.0/24 -b 
lub: 

# ipchains -A forward -s 172.16.3.0/24 -d 172.16.4.0/24 -b 
lub: 

# iptables -A FORWARD -s 172.16.3.0/24 -d 172.16.4.0/24 

# iptables -A FORWARD -s 172.16.4.0/24 -d 172.16.3.0/24 

Te ze sta wy re guł liczą wszyst kie da ta gra my, kt ór ych ad res źr odłowy na le ży do sie ci jed¬ 
ne go wy działu, a ad res do ce lo wy - do sie ci dru gie go wy działu. 
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Li czen ie ru chu według por tu usługi 

W porządku, załóżmy te raz, że chce my wie dzieć coś o tym, ja ki ro dzaj ru chu jest 
prze syłany przez na sze łącze PPP. Możemy na przykład do wie dzieć się, jaką czę ść 
łącza zaj mują usługi FTP, smtp i WWW. 

Skrypt z re gułami włączający mi zbie ran ie te go ty pu in form acji może wyglądać na¬ 
stępująco: 

#!/bin/sh 

# Zbieranie, za pomocC ipfwadm, statystyk o ruchu FTP, smtp i www 
#dla danych przesycanych przez Ulezę PPP 

# 

ipfwadm -A both -a -W pppO -P tep -S 0/0 ftp ftp-data 

ipfwadm -A both -a -W pppO -P tep -S 0/0 smtp 

ipfwadm -A both -a -W pppO -P tep -S 0/0 www 

lub: 

#!/bin/sh 

# Zbieranie, za pomocLi ipchains, statystyk o ruchu FTP, smtp i www 

# dla danych przesycanych przez Uczę PPP 

# 

ipchains -A input -i pppO -p tep -s 0/0 ftp-data:ftp 
ipchains -A output -i pppO -p tep -d 0/0 ftp-data:ftp 
ipchains -A input -i pppO -p tep -s 0/0 smtp 
ipchains -A output -i pppO -p tep -d 0/0 smtp 
ipchains -A input -i pppO -p tep -s 0/0 www 
ipchains -A output -i pppO -p tep -d 0/0 www 

lub: 

#!/bin/sh 

# Zbieranie, za pomocC iptables, statystyk o ruchu FTP, smtp i www 

# dla danych przesycanych przez COcze PPP 

# 

iptables -A FORWARD -i pppO -m tep -p tep —sport ftp-data:ftp 

iptables -A FORWARD -o pppO -m tep -p tep —dport ftp-data:ftp 

iptables -A FORWARD -i pppO -m tep -p tep —sport smtp 

iptables -A FORWARD -o pppO -m tep -p tep —dport smtp 

iptables -A FORWARD -i pppO -m tep -p tep —sport www 

iptables -A FORWARD -o pppO -m tep -p tep —dport www 

W tej kon fi gu ra cji jest kil ka cie ka wo stek. Po pierw sze, okre śli liś my pro to kół. Gdy 
w regułach podajemy numery portów, musimy także podać protokół, ponieważ 
TCP i UDP po sia dają od dziel ne ze sta wy por tów. Po nie waż wszyst kie z tych usług 
są opar te na TCP, po da liś my go ja ko pro to kół. Po dru gie, po da liś my dwie usługi 
ftp iftp-datawjed nym po le ce niu. ipfwadm po zwa la na po da wa nie po szcze gół- 
nych por tów, za kre sów por tów lub lo so wych list por tów. Po le ce nieipchainsrów nież 
po zwa la na po da wa nie po szcze gól nych por tów lub za kre sów por tów, z cze go sko¬ 
rzy staliśmy. Składnia,, ftp-data: ftp" oznacza „por ty od ftp-data (20) do ftp (21)" 
i jest to sposób kodowania za kre su por tów w po le ce niach ipchains i iptables. Gdy 
w re gu le zli czającej po dasz li stę por tów, ozna cza to, że wszel kie da ne ode bra ne na 
wskazanych portach będą sumowane przy zliczaniu. Pamiętając, że FTP używa 
dwóch por tów, por tu po le ceń i da nych, po da liś my je ra zem, że by su mo wać cały 
ruch FTP. Na ko ńcu po da liś my ad res źródłowy w po sta ci „0 / 0 ", co jest szcze gól- 
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nym za pi sem, do któ re go pa sują wszystkie ad re sy; ta ki za pis jest wy ma ga ny przez 
polecenia ipfwadm i ipchains, aby mo żna było okre ślić por ty. 

Możemy się nie co bar dziej sku pić na dru gim punk cie, co da nam in ne spój rzen ie na 
da ne na na szym łączu. Wy obraź my so bie, że trak tuj emy ruch FTP, SMTP i WWW ja¬ 
ko istotny, a po zos tały ruch ja ko nie istotny. Gdy byś my chcie li znać sto sun ek ru chu 
istotn ego do nie istotn ego, mo glib yśmy użyć cze goś ta kiego: 

# ipfwadm -A both -a W pppO -P tcp -S 0/0 ftp ftp-data smtp www 

# ipfwadm -A both -a W pppO -P tcp -S 0/0 1:19 22:24 26:79 81:32767 

Je żeli już przej rżałeś swój plik /etc/services, wiesz, że dru ga re guła obejm uje wszyst¬ 
kie por ty poza wy mieniony mi wpierw szej (ftp, ftp-data, smtp i www). 

Jak to ro bi my w po le ce niach ipchains i iptables, sko ro po zwa łają one okre ślić tyl ko je 
den port ja ko ar gu ment? Do li cze nia ru chu możemy równie łatwo jak w re gułach ti¬ 
re wal la wy ko rzy stać łańcu chydefiniowaneprzezużyt kow ni ka. Roz wa żmy na stę¬ 
pujące podejście: 

# ipchains -N a-essent 

# ipchains -N a-noness 

# ipchains -A a-essent -j ACCEPT 

# ipchains -A a-noness -j ACCEPT 

# ipchains -A forward -i pppO -p tcp -s 0/0 ftp-data:ftp -j a-essent 

# ipchains -A forward -i pppO -p tcp -s 0/0 smtp -j a-essent 

# ipchains -A forward -i pppO -p tcp -s 0/0 www -j a-essent 

# ipchains -A forward -j a-noness 

Tworzymy tutaj dwa łańcuchy definiowane przez użytkownika, jeden o nazwie 
a-essent, w którym zbieramy dane dla istotnych usług, oraz drugi o nazwie 
a-noness, w któ rym zbie ra my da ne o usługach nie istot nych. Na stęp nie do da je my 
re guły do na sze go łańcu chaprzekazywania,którydopasowujenasze istot ne usługi 
i prze chodzi do łańcu cha a-essent, gdzie mamy tylko jedną regułę akceptującą 
wszyst kie da ta gra my i je liczącą. Ostat nia re guła w na szym łańcu chu prze ka zy wa- 
nia to re guła, któ ra prze cho dzi do łańcu cha a-none s s, w któ rym znów ma my jedną 
re gułę przyj mującą i zli czającą wszyst kie da ta gra my. Do re guły, któ ra prze cho dzi 
do łańcu cha a-noness, nie do trze żad na z na szych istot nych usług, gdyż zo staną 
one za ak cep to wa ne przez ich własny łańcuch. Re jestr istotnych i nie istot nych usług 
bę dzie do stęp ny w re gułach tych łańcu chów. Opi sa liś myje den ze spo sobów, w ja ki 
mo żna li czyć ruch istot ny i nie istot ny - są oczy wiś cie ta kże in ne. Na sza im ple men ta- 
cja iptables wy ko rzy stu je to sa mo po de jś cie i przed sta wia się tak: 

# iptables -N a-essent 

# iptables -N a-noness 

# iptables -A a-essent -j ACCEPT 

# iptables -A a-noness -j ACCEPT 

# iptables -A FORWARD -i pppO -m tcp -p tcp —sport ftp-data:ftp -j a-essent 

# iptables -A FORWARD -i pppO -m tcp -p tcp —sport smtp -j a-essent 

# iptables -A FORWARD -i pppO -m tcp -p tcp —sport www -j a-essent 

# iptables -A FORWARD -j a-noness 

Wygląda to dość pro sto. Nie ste ty wy stę pu je tu nie wiel ki, ale nie unik nio ny pro blem 
przy pró bie li cze nia usług według ty pu. Pa mię tasz, że w po przed nich roz działach 
mó wi liś my o ro li, jaką w sie ci TCP/IP od gry wa MTU. MTU de fi niu je naj wię k szy da¬ 
ta gram, ja ki może zo stać przesłany przez urządzę nie sie cio we. Gdy da ta gram zo sta- 
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nie ode bra ny przez ru ter i jest wię k szy niż MTU in ter fej su, któ ry mu si go prze trans- 
mi to wać, ru ter sto su je sztucz kę na zy wan ąfragmen tacją. Ru ter dzie li du ży da ta gram 
na mniej sze frag men ty, nie wię k sze jed nak niż MTU in ter fej su, a na stęp nie je prze 
syła. Ru ter two rzy no we nagłów ki, któ re umiesz cza na początku ka ż de go frag men- 
tu. Zdalna maszyna używa ich do odtworzenia oryginalnych danych. Niestety 
w pro ce sie frag men ta cji port jest usu wa ny ze wszyst kich frag men tów po za pierw¬ 
szym . Ozna cza to, że zli cza nie IP nie jest w sta nie po praw nie obsłużyć da ta gra mów 
po dzie lo nych na frag men ty. Może po praw nie po li czyć tyl ko pierw szy frag ment. Ist¬ 
nie je sztucz ka wy ko ny wa na przez ipfwadm , któ ra pozwą la zliczać dal sze fragmenty, 
mi mo że nie je ste śmy w sta nie do wie dzieć się dokład nie, z ja kie go por tu po chodzą. 
Wcze śniej sze wer sje opro gra mo wa nia zli czające go dla Linuk sa przy pisy wały frag- 
men tom fałszy wy nu mer por tu OxFFFF, któ ry po zwa lał li czyć. Aby mieć pew ność, 
że uwzględ nia my dru gi i dal sze frag men ty, możemy użyć na stę pującej re guły: 

# ipfwadm -A both -a -W pppO -P tcp -S 0/0 0xFFFF 

Im plem enta cja łań cuch ów IP ofer owała nie cobar dziej wy raf ino wane roz wiąza nie, 
ale wy nik był po dobny. W przy padku po lec enia ipchains mo gliśmy użyć: 

# ipchains -A forward -i pppO -p tcp -f 
a w przy padku iptables: 

# iptables -A FORWARD -i pppO -m tcp -p tcp -f 

Nie pokaże nam to, jaki był oryginalny port danych, ale przynajmniej będziemy 
w sta nie stwier dzić, ile da nych zo stało po dzie lo nych na frag men ty i po li czyć ge ne 
ro wa ny przez nie ruch. 

Pod czas kom pi la cji jąder se rii 2.2 możesz wy brać opcję, któ ra usu wa cały ten pro¬ 
blem, je żeli twój kom pu ter z Linuk sem działa ja ko po je dyn czy punkt do stę pu do sie 
ci. Je żeli w cza sie kom pi la cji jądra włączysz opcję IP: al waysdefragment, wszystkie 
ode bra ne da ta gra my będą skład a ne przez ru ter linukso wy, za nim zo staną prze ru to- 
wa ne i po now nie wysłane. Ta ope ra cja jest re ali zo wa na przed fil tro wa niem na fi re 
wal lu i opro gra mo wa nie zli czające wi dzi da ta gram tak, jak by nie był po dzie lo ny na 
fragmenty. W jądrach 2.4 musisz skompilować i załadować moduł netfilter for- 
ward-fragment. 

ZliczaniedatagramówICMP 

Proto kół ICMP nie uży wa num erów por tów usługi i dla te go nie co trud niej jest zbie 
rać szcz egółowe da ne na je go te mat. ICMP wy ko rzy stu je ró żn ego ty pu da ta gra my. 
Wie le z nich jest nie szko dli wych i nor mai nych, na to miast ni ek tóre po win ny po ja wiać 
się tyl ko w pew nych oko licz no ściach. Cza sa mi lu dzie, kt órzy mają zbyt wie le cza su, 
próbują złośliwie zakłócić użytkownikom dostęp do sieci, generując dużą liczbę 
komunikatów ICMP. Powszechnie nazywa się to zalaniem pingami (ang. ping flo- 
oding). Choć za po mocą me cha ni zmu zli cza nia ru chu IP nie mo żna zro bić nic, by za- 
po biec te mu pro ble mo wi (choć może tu pomóc fi re wali IP!), możemy przy najm niej 
stwo rzyć re guły, kt óre po każą nam, czy ktoś pró buje ta kie go działania. 
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ICMP nie uży wa por tów, tak jak TCP czy UDP. Na to miast ma róż ne ty py ko mu ni ka¬ 
tów. Możesz stworzyć reguły liczące każdy typ komunikatu ICMP. W tym celu 
umiesz cza my ko mu ni kat ICMP i nu mer ty pu w po lu por tu po le ce nia zli czające go 
ipfwadm. Ty py ko mu ni ka tów ICMP wy mie ni liś my w pod roz dzia le Typy da ta gramów 
ICMP, a więc zaj rżyj tam, je żeli chcesz je so bie przy po mnieć. 

Re gula li czen ia ru chu IP zbie rająca in form acje o licz bie ping ów wy syłanych do na¬ 
szej ma szyny i z niej ge ner owa nych może wyglądać tak: 

# ipfwadm -A both -a -P icmp -S 0/0 8 

# ipfwadm -A both -a -P icmp -S 0/0 0 

# ipfwadm -A both -a -P icmp -S 0/0 0xff 

lub w przy padku ipchains tak: 

# ipchains -A forward -p icmp -s 0/0 8 

# ipchains -A forward -p icmp -s 0/0 0 

# ipchains -A forward -p icmp -s 0/0 -f 

lub w przy padku iptables tak: 

# iptables -A FORWARD -m icmp -p icmp --sports echo-request 

# iptables -A FORWARD -m icmp -p icmp --sports echo-reply 

# iptables -A FORWARD -m icmp -p icmp -f 

Pierwsza reguła zbiera informacje o datagramach „ICMP Echo Recjuest" (żądania 
ping), a dru ga zbie ra in form acje o „ICMP Echo Re ply" (od pow iedzi na ping). Trze cia 
re gula zbie ra in form acje o frag ment ach data gram ów ICMP. Jest to sztucz ka po dobna 
do opis anej w przy padku po dziel ony ch na frag menty data gram ów TCP i UDP. 

Jeżeli w swoich regułach podasz adres źródłowy i docelowy, możesz wyśledzić, 
skąd po chodzą pin gi, z sie ci we w nętrz nej czy ze wn ętrznej. Gdy już ustal isz, skąd 
przy chodzą szko dli we da tag ramy, możesz roz waż yć, czy chcesz umieś cić re gułę fi- 
rewalla, która będzie zapobiegała ich przyjmowaniu, czy też podjąć jakieś inne 
działania, jak skon takt owa nie się z właścic ielem sie ci, z któ rej one po chodzą i po- 
wiad orni enie go o pro blem ie, a może na wet wy toc zenie spra wy, je żeli działanie było 
szczególnie złośliwe. 

Zli czan ie według protokołu 

Wy obraźmy so bie te raz, że chce my wie dzieć, jakdu ży ruch na na szym łączu ge nam ją 
pro tokoły TCP, UDP i ICMP. Użyj emy do te go ce lu na stęp ujących re guł: 

# ipfwadm -A both -a -W pppO -P tcp -D 0/0 

# ipfwadm -A both -a -W pppO -p udp -D 0/0 

# ipfwadm -A both -a -W pppO -p icmp -D 0/0 

lub: 

# ipchains -A forward -i pppO -p tcp -d 0/0 

# ipchains -A forward -i pppO -p udp -d 0/0 

# ipchains -A forward -i pppO -p icmp -d 0/0 

lub: 

# iptables -A FORWARD -i pppO -m tcp -p tcp 

# iptables -A FORWARD -o pppO -m tcp -p tcp 

# iptables -A FORWARD -i pppO -m udp -p udp 

# iptables -A FORWARD -o pppO -m udp -p udp 
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# iptables -A FORWARD -i pppO -m icmp -p icmp 

# iptables -A FORWARD -o pppO -m icmp -p icmp 

Zgod nie z re gulami, cały ruch prze chodzący przez in ter fejsppp 0 bę dzie ana li zo wa- 
ny pod kątem usta le nia, czy jest to ruch TCP, UDP czy ICMP i będą uak tu al nia ne od- 
po wied nie licz ni ki dla ka ż de go z pro to kołów. W przykładzie dla po le ce maiptables 
ruch przy chodzący jest od dzie la ny od wy chodzące go, gdyż wy ma ga te go skład nia. 

Wykorzystywanie wyników zliczaniaruchulP 

Bar dzo dobrze, że zbie ra my in for ma cje, ale jak zoba czyć wy nik? Aby obej rzec ze bra¬ 
ne da ne o ru chu i skon fi gu ro wa ne re guły zli czające, od wołuje my się do po le ceńkon 
f i gu ra cyj nych f i re wal la, prosząc je o po ka za nie listyreguł.Wwynikusąpokazy wa- 
ne licz ni ki pa kie tów i baj tów dla ka ż dej z na szych re gul. 

Polecenia ipfwadm, ipchains i iptable sró żnie obsługują ze brane da ne, a więc mu simy je 
pokazaćniezależnie. 

Ogląda nie da nych za po mocą ipfwadm 

Naj prosts zym spo sob em na obejr zenie danych o ru chu za po mocą po \eceniaipfivadm 
jest użyć ie go w na stęp ujący sposób: 

# ipfwadm -A -1 

IP accounting rules 

pkts bytes dir prot source destination ports 

9833 2345K i/o all 172.16.3.0/24 anywhere n/a 

56527 33M i/o all 172.16.4.0/24 anywhere n/a 

Wi dać tu licz bę paki etów wysłanych w obie stro ny. Gdy byś my użyli opcji -e do po¬ 
kaz ania wy niku w bo gats zej po staci (nie po kaz uje my tu taj, gdyż nie zmie ściłby się 
na stronie), musielibyśmy podać również odpowiednie opcje i nazwy interfejsów. 
Wię k s zość pól te go wy niku jest oczy w ista, ale po niżs ze mogą wy mag ać wy jaś nienia: 
dir 

Kierunek, którego dotyczy reguła. Możliwe wartości to in, out lub i/o, co 
oznac za oba kie runki. 

prot 

Pro tokoły, któ rych do tyczą reguły. 
opt 

Za kod owa na po stać opcji, których używ amy w wywołaniu ipfwadm. 
ifname 

Na zwa in terf ejsu, kt órego do tyc zy reguła. 
ifaddress 

Ad res in terf ejsu, kt órego do ty c zy reguła. 

Domyś lnie ipfwadm wy świet la licz niki paki etów i bajt ów w skro eon ej po staci, czy li 
za okrągło ne do naj bliżs zego ty siąca (K) lub mi liona (M). Możemy spo wod ować, by 
wy niki były wy świet lane bez za okrągła nia. Ro bi się to tak: 

# ipfwadm -A -1 -e -x 
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Ogląda nie da nych za po mocą ipchai ns 

Po lec enie ipchains nie wy świet li ze bran ych da nych (li czników pa kietów i ba jtów), 
do póki nie po damy ar gum entu-u. Naj prosts zy spo sób na obejr zenie da nych za po¬ 
mocą ipchains jest na stępujący: 

# ipchains -L -v 

Znów, tak jak w ip/wadm, używając trybu roz szerzone go wyniku, możemy wyświet¬ 
lić licz niki paki etów i bajt ów w dokład nych jed nostk ach. ipchains do te go ce lu wy- 
kor zystuje ar gum ent -x: 

# ipchains -L -v -x 

Ogląda nie da nych za po mocą ip tab les 

PolecenieipfaWes za chow uje się bardzo po dobniejak ipchains. Znów mu simy użyć 
opcji -v, gdy chce my obejr zeć na sze licz niki. Aby obejr zeć ze brane da ne o ru chu, pi¬ 
szemy: 

# iptables -L -v 

Tak jak w poleceniu ipchains, możesz użyć argumentu -x do obejrzenia wyniku 
w roz szer zonej wer sji, z licz bami w dokład nej po stad. 

Zerowanie liczników 

Licz niki zli czające ruch IP prze pełnią się, je żeli po zos tawi sz je włączo ne na dłużs zy 
czas. Gdy się prze pełnią, bę dziesz miał trud noś ci w ustal eniu ich rze czyw ist ej war- 
toś ci. Aby uniknąć te go pro blemu, po win ieneś co ja kiś czas od czyt y wać ze brane da¬ 
ne, za pis y wać je, a na stępn ie ze row ać licz niki, by po nown ie roz począć zbie ran ie in- 
form acji o ru chu przez na stępny okres z lic żeni owy. 

Po lec enia ipfwadm i ipchainsudos tępni ają pro sty spo sób na ze row anie li czn ików: 

# ipfwadm -A-z 
lub: 

# ipchains -Z 
lub: 

# iptables -Z 

Możesz ta kże połączyć wy świe tła nie i ze ro wa nie, by mieć pew ność, że w mię dzy cza¬ 
sie da ne się nie za gu bią: 

# ipfwadm -A -1 -z 
lub: 

# ipchains -L -Z 
lub: 

# iptables -L -Z -v 
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Poleceniapo wyższenaj pierwpokażą da ne o ru chu, a na stęp nie na tych miast wy ze¬ 
rują licz ni ki i roz poczną zli cza nie od no wa. Je żeli chcesz zbie rac i wy ko rzy sty wać 
informacje regularnie, prawdopodobnieumieścisz to po le ce nie w skryp cie uru cha- 
mia nym co ja kiś cza su przez po le ce nie cron. Skrypt ten za pi su je wy nik i gdzieś go za¬ 
chowuje. 

Usuwanie zestawów reguł 

Ostatn ie po lec enie, kt óre może być przy datne, po zwala ci usunąć wszyst kie skon fi- 
gu ro wa ne wcze śniej re guły zli czające IP. Jest naj bard ziej przy datne, gdy chcesz ra- 
dyk alnie zmie nić ze staw re gul bez po nown ego uruc hami ania kom put era. 

Ar gum ent - f w połączę niu z po lec eni em ipfwadm wy rzuci wszyst kie re guły da ne go 
typu. ipchains obsługuje ar gum ent -F, który ro bi to sa mo: 

# ipfwadm -A -f 
lub: 

# ipchains -F 
lub: 

# iptables -F 

Powyższe polecenia po wod ują usuń ięcie wszyst kich skon fig uro wan ych re gul zli- 
czan ia ru chu IP, dzię ki cze mu nie tra cisz cza su na usuw anie ich po jed ynczo. Za¬ 
uważ, że ta kie usuw anie re gul w przy padku ipchains nie po wod uje usuń ięcia żadn e 
go z łańcu chów zde fin iowa nych przez użytk owni ka, a usuwa tyl ko za warte w nich 
reguły. 

Bierne zbieranie danych o ruchu 

Ostat nia sztucz ka, którą war to po znać: je żeli twój Li nux jest podłączo ny do Et her ne 
tu, możesz za sto so wać re guły li cze nia ru chu do wszyst kich da nych z two je go seg- 
men tu, a nie tyl ko do tych, któ re są przez nie go prze syłane lub do nie go ad re so wa ne. 
Two ja ma szy na może bier nie podsłuchi wać wszyst kie da ne prze syłane w seg men- 
cie sie ci, do któ re go jest podłączo na i je zli czać. 

Powinieneś najpierw wyłączyć przekazywanie IP na twoim kom put erze z Linuk- 
sem, tak by nie próbował on ru tować odebranych dat agra mów*. W jądrach 2.0.36 
i 2.2 ro bi się to za po mocą: 

# echo 0>/proc/sys/net/ipv4/ip_forward 

Na stęp nie za po mocą po le ce nia if config, po wi nie neś prze jść na swo jej kar cie Et her net 
do trybu prze chwyty wa nia (ang. promiscuous). Te raz możesz stwo rzyć re guły li cze 
nia ru chu po zwa łające ci zbie rać in for ma cje o da ta gra mach prze sylanych w seg men 
cie Et her net bez włącza nia ru tin gu na swo im Linuksie. 


Nie jest to do bre, je żeli twój Li nux działa jako ru ter. Je żeli wyłączysz prze kaz y wa nie IP, ma szyna prze 
stan ie ru tow ać pa kiety! Rób to tyl ko na kom put era ch z jed nym fi zyczn ym in terf ejsem siedowym. 
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Maskowanie IP 
i translacja adresów 
sieciowych 



Nie mu sisz mieć do brej pa mię ci, by pa mię tac cza sy, gdy tyl ko du że in sty tu cje mogły 
po zwo lic so bie na połączę nie wie lu kom pu te rów w sieć LAN. Obec nie tech no lo gia 
sie cio wa jest na ty le ta nia, że możemy za ob ser wo wać dwa zja wi ska. Po pierw sze, 
sieci LAN są teraz powszechne, nawet dostępne w gospodarstwach domowych. 
Wie lu użyt kow ni ków Linuk sa ma po kil ka kom pu te rów połączo nych sie cią Et her- 
net. Po dru gie, za so by sie cio we, szcze gól nie ad re sy IP, ko ńczą się i choć przy zwy- 
cza iliś my się, że są za dar mo, obec nie co raz czę ściej są ku po wa ne i sprze da wa ne. 
Wię k szość po sia da czy sie ci LAN zwy kle chce ta kże mieć połączę nie z In ter ne tern, 
wy korzystywaneprzezkażdykomputerwsieci.Regułyru tin guIPsądosyćsztyw- 
ne, je śli cho dzi o działanie w ta kiej sy tu acji. Tra dy cyj ne roz wiąza nia te go pro ble mu 
zakład ają uzy ska nie ad re su IP dla sie ci, być może kła sy C w przy pad ku mniej szych 
ośrod ków, i przy pi sa nie ad re su ka ż de mu ho sto wi sie ci LAN, a na stęp nie podłączę 
nie sie ci LAN do In ter ne tu przez ru ter. 

Wskomercjalizowanychśrodowiskachinternetowychjesttodośćdrogapropozycja. 
Po pierw sze, mu siałbyś zapłacić za przy pi sa nie two jej sie ci ad re sów IP. Po dru gie, 
musiałbyś zapłacić dostawcy usług internetowych za przywilejposiadania odpo¬ 
wie d nie go ru te ra dla two jej sie ci, dzię ki któ re mu resz ta In ter ne tu wie działaby, jak 
się do niej do stać. Może być to wciąż prak tycz ne roz wiąza nie dla firm, ale właści cie 
le do mo wych in sta la cji zwy kle nie są w sta nie udź wi gnąć je go kosz tów. 
NaszczęścieLinuxoferujeinneroz wiąza nie te go pro ble mu. Roz wiąza nie to wy ma¬ 
ga ele men tu z gru pyza awanso wa nych funk cji sie cio wych, tak zwa nej trans la cjiad re- 
s ów sieciowych (Ne tworkAd dress Trans la tion - N AT). Jest to pro ces mo dy fi ka cji ad re 
sów sie cio wych za war tych w nagłów kach da ta gra mu, któ ry za cho dzi w cza sie ich 
przesyłania. Na początku może ci się to wydawać dość dziwne, ale zobaczysz 
wkrót ce, że jest to ide al ne roz wiąza nie opi sy wa ne go pro ble mu i wie le osób z niego 
korzysta. Masko wa nie IP (ang. IP masyuerading) tona zwa nadana jed nej z od mian 
translacji adresów sieciowych, która pozwala hostom z adresem sieci prywatnej 
przed sta wić się w In ter ne cie pod jed nym pu blicz nym ad re sem IP. 
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Ma sko wa nie IP da je mo żli wość uży wa nia ad re su IP z sie ci pry wat nej (za re zer wo 
wa ne go) w two jej sie ci LAN, a twój ru ter opar ty na Linuksie wy ko nu je w cza sie rze 
czy wi stym pew ne in te li gent ne tłuma cze nie ad re sów IP i por tów. Gdy ru ter od bie rze 
da ta gram od kom pu te ra z sie ci LAN, spraw dza, czy jest to da ta gram ty pu „TCP", 
„UDP", „ICMP" itp. i mo dy fi ku je go tak, że wygląda on jak by był wy ge ne ro wa ny 
przez sam ru ter (ru ter pa mię ta, że to zro bił). Na stęp nie ru ter wy syła da ta gram do In¬ 
ter ne tu, na dając mu je den ad res IP. Gdy host do ce lo wy od bie rze da ta gram, uwie rzy, 
że przy szedł on z ru te ra i wy ś le w od po wie dzi da ta gra my na je go ad res. Gdy ru ter 
linuk so wy z włączo nym ma sko wa niem od bie rze da ta gram przez swo je połączę nie 
sie cio we, zaj rzy do swo jej ta bli cy ak ty w nych, ma sko wa nych połączeń, by zo ba czyć, 
czy da ta gram rze czy wiś cie na le ży do kom pu te ra w sie ci LAN. Je żeli tak, od wró ci 
do ko naną przez sie bie wcze śniej mo dy fi ka cję oraz wy ś le da ta gram te mu kom pu te 
rowi. 

Pro sty przykład ta kiego działania po kaz ano na ry sunku 11-1. 


PPPP 

Internet 203.10.231 
PPP 



U nu kawy ruter 
z mas lewa niem 


192.158.1.0/295.295.255.0 



192.168.1.1 -*i 


192.168 



Żądania: amaskwafia 
:: 203.10.23.1 port 10* 


Oryginteodpowiedt 
do: 203.10.23.1 port 1035 


Praflumaczona prcaz ruter 
z luntogą maskowania pod adresem: 
203.10.23.1 


Ządaiia oryginalna 
z: 192.168.1.3 port 1234 


Odpowiedź zdemaskowana 
do: 192.168.1.3 port 1234 


Rysunekll-I.TypowakonfiguracjamaskowanialP 


Ma my małą sieć Et her net wy ko rzy stującą je den z za re zer wo wa nych ad re sów sie ci. 
W sie ci jest linuk so wy ru ter z funk cją ma sko wa nia, dający do stęp do In ter ne tu. Jed¬ 
na ze sta cji ro bo czych w sie ci (192.168.1.3) chce połączyć się z ho stem zdał nym o ad- 
re sie 209.1.106.178 na por cie 8888. Sta cja ro bo cza kie ru je swój da ta gram do ru te ra, 
któ ry stwier dza, że żąda nie połączę nia wy ma ga ma sko wa nia. Przyj mu je da ta gram 
i alo ku je port (1035), za stę pu je ad res i port ho sta swo imi własny mi i prze syła da ta- 
gram do ho sta do ce lo we go. Do ce lo wy host my śli, że otrzy mał żąda nie połączę nia 
od ru te ra linuk so we go z włączo nym ma sko wa niem i ge ne ruje da ta gram z od po wie 
dzią. Otrzymawszy datagram, ruter znajduje powiązanie w tablicy maskowania 
i od wra ca ope ra cje wy ko na ne na wy chodzącym da ta gra mie. Na stęp nie prze syła od- 
po wie dź do ho sta, od któ re go pier wot nie wy szedł da ta gram. 
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Lo kalny hostmy śli, że ko mu ni ku jesiębez pośred niozhostem zdalnym. Zdalny host 
nic nie wie o ho ście lokalnym, a my śli, że połączę nie na wiązu je z rutę rem. Ru ter 
z ma sko wa niem wie, że te dwa ho sty ko mu ni kują się ze sobą, ja kich po rtów uży wają 
i do ko nu je trans la cji adres ów i portów wy ma ga nej do uzy ska nia ta kiej ko mu ni ka cji. 
Może to wydawać się nieco zagmatwane, ale działa i łatwo się konfiguruje. Nie 
przej muj się więc, je żeli nie ro zum iesz jesz cze szcz egółów. 

Skutki uboczne i dodatkowe korzyści 

Funk cji ma skow ania IP to war zyszą pew ne skut ki uboczne, z których niektó re są 
użyt eczne, a in ne mogą prze szkad zać. 

Po pierw sze, ża den z ho stów sie ci, któ ra jest obsługi wa na przez ru ter ma skujący, nie 
jest widziany bezpośrednio, dzięki cze mu po trze bu jesz tylko jedne go po prawne go 
i ru to wal ne go ad re su IP, aby wszyst kie ho sty mogły łączyć się z In ter ne tern. Ma to 
taką wa dę, że ża den z ho stów nie jest wi docz ny z In ter ne tu i nie możesz się do nie go 
podłączyć bez po śred nio. Je dy nym wi docz nym ho stem w ma sko wa nej sie ci jest sa ma 
ma szy na ma skująca. Jest to istot ne, gdy roz wa żasz usługi, ta kie jak pocz ta czy FTP. 
Po ma ga usta lić, ja kie usługi po win ny być udo stęp nia ne przez ru ter ma skujący, a ja kie 
po win ny być udo stęp nia ne przez proxy lub trak to wa ne w in ny, szcze gól ny spo sób. 
Po dru gie, po nie waż ża den z ma sko wa nych ho stów nie jest wi docz ny, są one w pew¬ 
nym sen sie za bez pie czo ne przed ata ka mi z ze wnątrz. Za pew ne uprasz cza to kon fi- 
gu ro wa nie fi re wal la na ho ście ma skującym. Możesz się na wet za sta na wiać, czy fi re 
wali jest w ogó le po trzeb ny. Nie po wi nie neś jed nak zbyt nio ufać ma sko wa niu. Cała 
two ja sieć jest tyl ko tak za bez pie czo na jak host ma skujący, a więc po wi nie neś użyć 
f i re wal la, je żeli bez pie cze ństwo jest dla cie bie istot ne. 

Po trze cie, ma sko wa nie IP bę dzie miało pe wien wpływ na wy daj ność sie ci. W ty po- 
wychkonfiguracjachprawdopodobniebędzietoledwozauważalne.Gdybyśjednak 
miał wie le ak ty w nych, za ma sko wa nych se sji, mógłbyś za uwa żyć, że prze twa rza nie 
re ali zo wa ne na ma szy nie ma skującej za czy na wpływać na prze pu sto wość sie ci. Ma¬ 
skowanie IP wymaga wy konania spo rej pracy dla każ de go da ta gra mu, porówny¬ 
wał nej z ty po wym ru tin giem. Je żeli pla no wałeś po wie rzyć kom pu te ro wi 386SX16 
obsługę ma sko wa nia dla ko mu to wa ne go łącza do In ter ne tu, może to wy star czyć, ale 
nie spo dzie waj się zbyt wie le, je żeli zde cy du jesz się go użyć ja ko ru te ra w sie ci kor- 
po ra cyj nej działającej z pręd ko ścia mi sie ci Et her net. 

Pew ne usługi sie cio we nie będą działały przy włączo nej funk cji ma sko wa nia lub 
będą wy ma gały wspar cia. Zwy kle są to usługi, któ re opie rają się na przy chodzących 
se sjach, ta kie jakbez po śred nie ka nały ko mu ni ka cyj ne (Direct Com m u n i ca tions Chan- 
nels - DCC) w IR C-u czy pew ne ty py usług gru po wych wi deo i au dio. Dla nie któ¬ 
rych z nich stwo rzo no spe cjal ne mo duły jądra po zwa łające pro blem roz wiązać; za 
chwi lę o tym po wie my. Może się jed nak tak zda rzyć, że nie znaj dziesz roz wiąza nia, 
a więc bądź ostro żny, gdyż nie zaw sze da się za sto so wać ma sko wa nie. 
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Konfigurowaniejądra do maskowanialP 

Aby użyć funkcji maskowania IP, twoje jądro musi zostać skompilowane z jej 
obsługą. W cza sie kon fig uro wan ia jądra se rii 2.2 mu sisz wybrać na stęp ujące opcje: 

Networking options -> 

[*] Network firewalls 
[*] TCP/IP networking 
[*] IP: firewalling 
[*] IP: masąuerading 

- Protocol-specific masąuerading support will be built as modules. 

[*] IP: inautofw masą support 
[*] IP: ICMP masąuerading 

Za uważ, że obsługa ma sko wa nia jest do stęp na tył ko ja ko mo duł jądra. Ozna cza to, 
że w cza sie kom pi la cji jądra mu sisz pa mię tać o wy ko na niu „make modules" po za 
zwykłym „make zlmage". 

Jądra se rii 2.4 nie po sia dają obsługi ma sko wa nia IP ja ko opcji wy bie ra nej w cza sie kom- 
pilacjijądra.Natomiastpowinieneśwybraćopcjęfiltrowaniapakietówsieciowych: 

Networking options -> 

[M] Network packet filtering (replaces ipchains) 

W cza sie kom pi la cji jąder se rii 2.2 po wsta je sze reg mo dułów po moc ni czych, spe cy- 
ficz nych dla pro to kołów. Nie któ re pro to koły roz po czy nają działanie od wy sy łania 
żądań na jed nym por cie, a po tern ocze kują na połączę nia przy chodzące na in nym 
por cie. Pro to koły ta kie zwy kle nie mogą być ma sko wa ne, gdyż nie ma in ne go spo so- 
bu na po wiąza nie dru gie go połączę nia z pierw szym, jak po wiąza nie ich we wnątrz 
sa mych pro to kołów. Mo duły po moc ni cze to właśnie ro bią. W prak ty ce za glądają do 
śród ka da ta gra mów i urno żli wiają działanie ma sko wa nia z nie któ rych pro to kołów, 
co w in nej sy tu acji byłoby nie mo żli we. Obsługi wa ne pro to koły to: 


Moduł 

Protokół 

ip_masq_ftp 

FTP 

ip_masq_irc 

IRC 

ip_masq_raudio 

RealAudio 

ip_masq_cuseeme 

CU-See-Me 

ip_masq_vdolive 

For VDO Live 

ip masq quake 

IdSoftwareQuake 


Aby uru cho mić te mo duły, mu sisz je ręcz nie załad o wać za po mocą po le ce nia insmod. 
Za uważ, że mo duły te nie mogą być ład o wa ne przez de mo na kerneld. Ka żdy z mo¬ 
dułów przyj mu je ar gu ment, któ ry okre śla, na ja kich por tach mo duł bę dzie nasłuchi¬ 
wał. Mo duł Re alAu dio mógłbyś załad o wać w na stę pująco**. 

# insmod ip_masq^_raudio. o ports=7070,7071,7072 

Nu mery po rtów za leżą od pro tokołu. Do kum ent mi ni-HOW TO o ma skow aniu IP 
napisany przez Ambrose Au, podaje więcej szczegółów na temat modułów ma- 
skow ania IP i omaw ia, jak je kon fi gu ro wać**. 

* RealAudiojestznakiemtowarowymProgressiveNetworksCorporation. 

** Z Am bro se możesz się skon tak to wać pod ad re semambrose@writeme.com. 
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Pa kiet netfilter za wie ra mo duły działające po dob nie. Na przykład, aby udo stęp nić 
połączenie śledzące sesje FTP, powinieneś załadować moduły ip_conntrack_ftp 
i ip_nat_ftp.o i użyć ich. 

Konfigurowanie maskowania IP 

Je żeli już prze czy tałeś roz działy na te mat fi re wal la i li cze nia ru chu IP, nie bę dziesz 
za sko czo ny, że do kon fi gu ro wa nia re guł ma sko wa nia IP są uży wa ne rów ni eż po le ce 
nia ipfwadm, ipchains i iptables. 

Re guły ma sko wa nia są szcze golną klasą re guł fil trujących. Mo żli we jest ma sko wa nie 
je dy nie tych da ta gra mów, któ re są od bie ra ne na jed nym in ter fej sie i ru to wa ne do in¬ 
ne go in ter fej su. W ce lu utwo rze nia re guły ma sko wa nia mu sisz skon stru ować re gułę 
bar dzo po dobną do re guły prze ka zy wa nia dla fi re wal la, ale z wy ko rzy sta niem spe 
cjal nych opcji, któ re mó wią jądru, by ma sko wało da ta gram. Po le ce nie ipfwadm wy ko¬ 
rzy stu je opcję -m, ipchains opcję - j MASQ, a iptables opcję - j MASQUERADE, by poka¬ 
zać, że da ta gram pa sujący do re guły po wi nienbyć za ma sko wa ny. 

Sp ójr zmy na przykład. Stu dent in form aty ki z uniw ersy tetu Gro ucho Marx ma w do¬ 
mu kil ka kom puterów połączo nych w sieć Et hern et. Zde cyd owal się na użyć ie jed¬ 
nego z pry watn ych, za rez erwo wan ych ad res ów sie ci. Miesz ka ra zem z in nymi stu¬ 
dent ami, któ rzy też chcą mieć do stęp do In tern etu. Po niew aż ich wa runki ży ciowe 
są dość skrom ne, nie mogą po zwoi ić so bie na stałe połączę nie z In tern etem, a więc 
używ ają zwykłego, ko mut owa nego połączę nia PPP. Wszy scy chcie liby współdzie 
lić łącze, by po gad ać na IR C-u, poo glądać stro ny WWW czy po brać pli ki przez FTP 
bez poś rednio na swo je kom put ery- ma skow anie IP jest tu do brym roz wiąza niem. 
Stu dentkonfiguru jenaj pierw kom put er z Linuksem obsługujący łączekomut owa ne 
i działający ja ko ru ter dla sie ci LAN. Ad res IP, ja kiego używa przy dzwo nien iu, nie 
jest istotny. Kon fig uru je ru ter z ma skow ani em IP i używa jed nego z adr esów sie ci 
pry watn ej dla swo jej sie ci LANrl 92.168.1. O.Zapewniakażdemuhostowiwsieci 
LAN ustaw ienie do myś lne go ru tingu tak, by wska zywał na ru ter linuk sowy. 

Poniż sze po le ce nia ipfioadm wy starczą,bymaskowaniezadziałałowtakiejkonfiguracji: 

# ipfwadm -F -p deny 

# ipfwadm -F -a accept -m -S 192.168.1.0/24 -D 0/0 

lub w przy padku ipchains: 

# ipchains -P forward -j deny 

# ipchains -A forward -s 192.168.1.0/24 -d 0/0 -j MASQ 
lub w przy padku iptables: 

# iptables -t nat -P POSTROUTING DROP 

# iptables -t nat -A POSTROUTING -o pppO -j MASQUERADE 

Te raz, gdy tyl ko ja kiś z ho stów z sie ci LAN spróbuje połączyć się z usługą na ho ście 
zdalnym, jego datagramy zostaną automatycznie zamaskowane przez ruter z Li¬ 
nuksem. Pierwsza re guła w ka żdym z przykładów za pob iega przed ru tow ani em 
wszel kich in nych da ta gramów i za pe wn ia pe w ne bez piec zeńs two. 

Aby zo bac zyć właśnie utwór zoną li stę re guł ma skow ania, użyj ar gum entu -1 w po¬ 
lec eniu ipfwadm zgod nie z tym, co opis ali śmy, omaw iając fi rew alle. 
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Oto, jak na leży za pis ać to po lec enie: 

# ipfwadm -F -1 -e 

W wy niku otrzym uje my: 

# ipfwadm -F -1 -e 

IP firewall forward rules, default policy: accept 
pkts bytes type prot opt tosa tosx ifname ifaddress ... 

0 0 acc/m all - OxFF 0x00 any any ... 

Sym boi „ /m" w wy niku po kaz uje właśnie re gulę ma skow ania. 

Aby zo ba czyć li stę re gul ma sko wa nia w przy pad ku po le ce nia ipchains, użyj ar gu- 
men tu -L. Wy nik bę dzie na stę pujący: 

# ipchains -L 

Chain input (policy ACCEPT): 

Chain forward (policy ACCEPT) : 


target prot opt source destination ports 

MASQ all - 192.168.1.0/24 anywhere n/a 


Chain output (policy ACCEPT): 

Wszel kie re guły, w których po le t a r g e t ma war tość MA S Q, to re guły ma sko wa nia. 
No i aby zo bac zyć re guły za po mocą iptables, mu sisz użyć cze goś ta kiego: 

# iptables -t net -L 

Chain PREROUTING (policy ACCEPT) 

target prot opt source destination 

Chain POSTROUTING (policy DROP) 

target prot opt source destination 

MASQUERADE all — anywhere anywhere MASQUERADE 


Chain OUTPUT (policy ACCEPT) 

target prot opt source destination 

Zn ów, reguły ma skowania sąozna czonesłowemMASQUERADE w po lu target. 


Usta wianie pa ramę trówczaso wych dlamaskowanialP 

Gdy jest na wiązy wane ka żde no we połączę nie, oprog ramo wan ie ma skow ania IP 
two rzy w pa mięci po wiąza nie po międ zy ka żdym z ho stów w nim uczestn iczących. 
Możesz obejrzeć te powiązania w dowolnej chwili, zaglądając do pliku /proc/net/ 
ip_masquerade. Po wiąza nia wy gasną po pew nym cza sie nie akt y wno ści. 

Za po mocą po lec enia ipfwadm możesz ustaw ić war toś ci cza su ich wy gaś nięcia. Ogól¬ 
na skład nia jest na stęp ująca: 

ipfwadm -M -s <tcp> <tcpfin> <udp> 

i dla po lec enia ipchains jest tak: 

ipchains -M -S <tcp> <tcpfiri> <udp> 

Im plem enta c]aiptables wy kor zyst uje licz niki cza sowę o du żo wię ks zej war toś ci i nie 
po zwala na ich ustaw ianie. 

Ka żda z tych war to ści okre śla licz nik cza su uży wa ny przez opro gra mo wa nie ma¬ 
sko wa nia IP i jest wy ra żona w se kun dach. Po niż sza ta be la pod su mo wu je licz ni ki 
i ich zna cze nie: 
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Nazwa 

Opis 

tcp 

Czas prze rwy w se sji TCP. Mówi, jak długo połączę nie TCP może po zo sta wać 
jałowe, za nim powiążą nie zo sta nie usu nię te. 

tcpfin 

Czas ocze ki wa nia TCP po na po tka niu FIN. Mówi, jak długo powiążą nie po za 
sta nie w ta bli cy po rozłączę niu połączę nia TCP. 

udp 

Czas prze rwy w se sji UDP. Mówi, jak długo połączę nie UDP może po zo sta¬ 
wać jałowe, za nim powiążą nie zo sta nie usu nię te. 


Obsługiwanie przeszukiwania serwerów nazw 

Obsługi wa nie prze szu ki wa nia ser we rów nazw z ho stów w sie ci z ma sko wa niem IP 
za w sze sta no wiło pro blem. Ist nieją dwa spo so by na do sto so wa nie DN S-u do śro do- 
wi ska z ma sko wa niem. Możesz po wie dzieć ka ż de mu z ho stów, że by uży wał te go 
sa me go DN S-u co ru ter i niech ma sko wa nie IP obsługu je ich za py ta nia DNS. Al bo 
możesz uru cho mić linuk so wy ser wer pa mię ci podręcz nej i usta wić go tak, by ka żdy 
z ho stów uży wał go ja ko swo je go DN S-u. Jest to bar dziej agre syw ne działanie, ale 
o ty le ko rzyst niej sze, że re du ku je roz miar ru chu DNS prze syłane go do łącza in ter ne 
to we go i bę dzie nie co szyb sze, po nie waż wię k szość za py tań bę dzie obsługi wa na 
z pa mię ci podręcz nej. Wadą tej kon fi gu ra cji jest to, że jest bar dziej skom pli ko wa na. 
Pod roz dział Konfiguracja na med jak ser we ra pa mię cipodręcz nej w roz dzia le 6 opi su je 
przebieg konf i gu ra cji ta kie go ser we ra. 

Więcej na temat translacjiadresów sieciowych 

Oprogramowanie netfilter jest w stanie obsłużyć wiele różnych typów translacji 
adres ów sie ciow ych. Ma skow anie IP jest jed ny m z prost szych je go za stos owań. 

Mo żli we jest na przykład stwo rze nie ta kich re guł trans la cji, któ re będą tłuma czyć 
tylko pewne ad re sy lub za kre sy ad re sów, a resz ta po zo sta nie nie tknię ta lub będą 
tłuma czyć ad re sy na pu le ad re sów, a nie na po je dyn cze ad re sy, tak jak w ma sko wa- 
niu. W prak ty ce możesz użyć po le ce nia iptables do stwo rze nia re guł trans la cji, któ re 
odwzorowują wszystko, wykorzystując połączenie różnych atrybutów, takich jak 
ad res źródłowy, ad res do ce lo wy, typ pro to kołu, nu mer por tu itp. 

W dokumentacji netfilter tłumaczenie adresu źródłowego datagramu nazywa się 
SNAT (Source NAT). Tłumaczenie adresu docelowego datagramu jest nazywane 
DNAT (De sti na tion N AT). Tłuma cze nie por tu TCP lub UDP jest zna ne pod po ję ciem 
REDIRECT. SNAT, DNAT i RE DI RE CTto cele, których możesz używać w po leceniu 
iptablesdotwo rze niabar dziej wy ra fi no wa nych i skom pli ko wa nych re guł. 

Opi sem od mian trans la cji adres ów sie cio wych mo żna by wy pełnić cały od dziel ny 
roz dział*. Nie ste ty my nie ma my tu dość miej sca. Je żeli chcesz się do wie dzieć wię cej 
o tym, jak używać translacji adresów sieciowych, powinieneś przeczytać IPTA- 
BLES-HOWTO. 


... lub na wet całą książkę! 
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Ważne funkcje 
sieciowe 



Po po my śl nym skon fi gu ro wa niu IP i re solve ra, war to przyj rzec się usługom, któ re 
możesz udo stęp niać w sie ci. Ten roz dział oma wia kon fi gu ra cję kil ku pro stych za sto 
sowań sieci, między innymi serwera inetd i programów z rodziny rlogin. Krótko 
omówimy także interfejs zdalnego wywołania procedur (RPC - Remote Procedurę 
Cali), na któ rym opar te są usługi, ta kie jak sie cio wy sys tern pli ków (NFS -Network 
FileSys tern) i sys tern in for ma cji sie cio wej (NIS -Networklnforma tion Sys tem). Jed nak 
konfiguracja NFS-a i NIS-a są bardziej złożone i omówimy je w od dziel nych roz¬ 
działach, po dob nie jak pocz tę elek tro niczną oraz gru py dys ku syj ne. 

Oczyw iście nie możemy w tej książce opis ać wszyst kich za stos owań sie ci. Gdy byś 
chciał za ins talo wać coś, cze go nie omaw iamy, na przykład talk, gopher czy http, szu¬ 
kaj ob jaś nień na stro nach podręcz nika elekt roni cznego da nego ser wera. 

Superserwer inetd 

Pro gramy udos tępni ające usługi przez sieć są na zyw ane demonamisie ciow ymi. De 
mon to pro gram, któ ry otwiera port (prze wa żnie jest to do brze zna ny port usługi) 
i oczek uje na przy chodzące na nie go połączę nia. Je żeli ta kie na dejd zie, de mon twe 
rzy proces potomny przyjmujący połączenie, natomiast proces macierzysty dalej 
oczek uje na ko lejne żąda nia. Me chan izm ten się spraw dza, ale ma kil ka wad. Przy- 
najmn iej jed na in stancja ka żd ej mo żliw ej usługi, którą chcesz udos tępni ać, mu sibyć 
aktywna w pamięci przez cały czas. Ponadto procedury oprogramowania nasłu¬ 
chujące go i obsługujące go port muszą być re plik owa ne w ka żdym de mo nie sie cio- 
wym. 

Aby działanie de mo na stało się bar dziej efek ty w ne, wię k szość in sta la cji Unik sauru- 
cha mia spe cjal ne go de mo na sie cio we go, któ rego możesz uznać za„superser wer". De 
mon ten two rzy gniaz da w imię niu sze re gu usług i nasłuchu je na nich wszyst kich 
równocześnie. Gdy na którymś z tych gniazd zostanie odebrane przychodzące 
połączenie, superserwer przyjmuje je i uruchamia serwer dla określonego portu, 
prze ka żując gniaz do do obsłużę nia przez pro ces po tom ny. Na stęp nie po wra ca do 
nasłuchiwania. 
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Najpopularniejszy superserwer nosi na z węinetd (z ang. Internet Daemori). Jest on 
uruc hami any w cza sie star tu sys temu i przyj muje li stę usług do obsłużeń ia na pod¬ 
stawie pli ku o na zwie /etc/inetd.conf. Po za ty mi usługami, ist nieje sze reg pro stych 
usług re aliz owa nych przez sam inetd , na zyw any chusługamiwewnętrznymi Za lic zają 
się do nich chargen, ge ner ujący po pro stu ciąg znaków, i daytime, któ ry zwra ca czas 
systemowy. 

Wpis w tym pli ku składa się z po jed ynczego wier sza, w któr ym znaj dują się z ko lei 
na stęp ujące pola: 

usDuga typ protokóO wait uDytkownik serwer wiersz-poleceD 

Ka żde z pól opis uje my po niżej: 

usDuga 

Za wie ra na zwę usługi. Na zwa usługi musi być przetluma czo na na nu mer por tu 
na pod sta wie pli ku / etc/services. Plik ten zo sta nie opi sa ny da lej, w pod roz dzia le 
Plikise wices ipro to cols. 

typ 

Określa typ gniazda, czyli stream (dla protokołów zorientowanych połącze¬ 
niowo) lub dgr am(dla pro tokołów da tag ramo wych). Usługi oparte na TCP po¬ 
winny zawsze używać słowa stream, a usługi oparte na UDP, słowa dgram. 

protokóJ 

Nazwa protokołu transportowego używanego przez usługę. Musi być to do- 
puszc żalna na zwa pro tokołu znaj dująca się w pli ku protocols, opis anym da lej. 

wai t 

Ta opcja dotyczy tylko gniazd dgram. Może przyjmować wartość wait lub 
nowait.Je żeli poda no wa i t, inetd uru cha mia tyl ko po jed nym ser we rze dla za da¬ 
ne go portu. W prze ci w nym ra zie na tych miast pouruchomieniuserwerazaczyna 
nasłuchi wać na por cie. 

Jest to przy dat na opcja dla ser we rów „jed nowątko wych", któ re czy tają wszyst kie 
da ta gra my, do pó ki przy chodzą, a na stęp nie ko ńczą pracę.Większość ser we rów 
RPC jest tego typu i po win ny w tym polu za wie rać słowo wait. Działające od¬ 
wrót nie ser we ry - „wie lowątko we" - po zwa łają na jed no cze sne uru cha mia nie 
nie ogra ni czo nej licz by in stan cji. Ta kie ser we ry po win ny mieć tu wpi sa nen o wa i t. 
Gniaz da s t r e am po win ny zaw sze uży wać słowa nowa i t. 
uJytkownik 

Jest to ID użyt kow ni ka, który jest właści cie lem pro ce su w cza sie jego uru cha mia- 
nia. Czę sto bę dzie to użyt kow nik root, ale niek tóre usługi mogą wy ko rzy sty wać 
inne konta. Dobrze jest stosować tu zasadę ograniczonego przywileju, która 
mówi, że nie po wi nie neś uru cha miąć po le ce nia z pra wa mikon ta uprzy wi le jo wa- 
ne go, je żeli pro gram nie wy ma ga tego do po praw ne go działania. Na przykład 
ser wer grup dys ku syj nych NNTP działa jakonews, na to miast usługi, kt óre mogą 
potencjalniezagrażaćbezpieczeństwu(takiejakt/fp czy finger) czę sto są uru cha- 
mia ne jako nobody. 
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serwer 

Zawiera pełną ścieżkę do uruchamianego programu serwera. Wewnętrzne 
usługi są tu taj ozna cza ne słowem klu czo wym internal. 

wiersz-polece J 

Jest to wiersz poleceń przekazywany do serwera. Rozpoczyna się od nazwy 
uruchamianego serwera i może zawierać wszelkie argumenty, które powinny 
być prze kaz ane ser wer owi. Je żeli używ asz wrappe ra TCP, po daj esz tu taj pełną 
ścież kę do ser wera. W prze ciwn ym ra zie po daj esz je dyn ie na zwę ser wera, taką 
jaka po jaw ia się na liś cie pro cesów. Wkr ótce po wiemy o wrappe rach TCP. 

W przy pad ku usług we w nętrz nych pole to jest pu ste. 

Przykładowy plikwzefd. conf zo stał po ka za ny w przykładzie 12-1. Usługa/inger jest 
za ko men to wa na, a więc nie jest do stęp na. Czę sto tak się ro bi ze wzglę dówbez pie cze 
ństwa, po nieważ usługa ta może być uży wa na przez oso by nie po wołane do uzy ska- 
nia nazw i in nych szcze gółów na te mat uży t kow ni ków two je go sys te mu. 

Przykład 12-1. Przykładowyplik/etc/inetd.conf 

# 

# usDugi inetd 


ftp 

stream 

tcp 

nowait 

root 

/usr/sbin/ftpd 

in.ftpd -1 

telnet 

stream 

tcp 

nowait 

root 

/usr/sbin/telnetd 

in.telnetd -b /etc/issue 

#finger 

stream 

tcp 

nowait 

bin 

/usr/sbin/fingerd 

in.fingerd 

#tftp 

dgram 

udp 

wait nobody 

/usr/sbin/tftpd 

in.tftpd 

#tftp 

dgram 

udp 

wait nobody 

/usr/sbin/tftpd 

in.tftpd /boot/diskless 

#login 

stream 

tcp 

nowait 

root 

/usr/sbin/rlogind 

in.rlogind 

#shell 

stream 

tcp 

nowait 

root 

/usr/sbin/rshd 

in.rshd 

#exec 

# 

# i 

# 

daytime 

stream 

tcp 

nowait 

root 

/usr/sbin/rexecd 

in.rexecd 

lsDugi wewnDtrzne inetd 

stream tcp nowait root 

internal 


daytime 

dgram 

udp 

nowait 

root 

internal 


time 

stream 

tcp 

nowait 

root 

internal 


time 

dgram 

udp 

nowait 

root 

internal 


echo 

stream 

tcp 

nowait 

root 

internal 


echo 

dgram 

udp 

nowait 

root 

internal 


discard 

stream 

tcp 

nowait 

root 

internal 


discard 

dgram 

udp 

nowait 

root 

internal 


chargen 

stream 

tcp 

nowait 

root 

internal 


chargen 

dgram 

udp 

nowait 

root 

internal 



Demon tftp jest również zakomentowany. tftp implementuje uproszczony protokół 
przesyłaniaplików (T rmialFileTransferPro tocol - TFTP), który po zwala ka żd emu, bez 
spraw dzan ia hasła, po brać z sys temu do wolny plik, który ma pra wo do od czytu 
ustawione dla wszystkich. Jest to szczególnie niebezpieczne w przypadku pliku 
/etc/passwd, a jesz cze bar dziej, je żeli nie używ amy ha sel ty pu shad ow. 

TFTP jest po wszech nie sto so wa ny przez klien ty bez dy sko we i Xter mi na le do ład o wa- 
nia z ser we ra swo je go ko du. Gdybyś z te go po wo du mu siał uru cho mi ćtftpd, ogra nicz 
do stęp tył ko do tych katalogów, z których klien ty będą od czy ty wać pli ki. Bę dziesz 
mu siał po dać na zwy tych katalogów w wier szu po le c eńtftpd. Po ka za no to w dru gim 
wier szu tftp w po wy ż szym przykładzie. 
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Funkcja kontrolidostępu tcpd 

Po nie waż udo stęp nia nie kom pu te ra w sie ci stwa rza wie le za grożeń dla bez pie cze li¬ 
stwa, apli ka cje są tak pro jek to wa ne, by bro nić się przed pew ny mi ty pa mi ata ków. 
Nie któ re funk cje bez pie cze ństwa by wają jed nak słabe (co po ka zał in ter ne to wy ro¬ 
bak RTM, któ ry wy ko rzy stał dziu ry w kil ku pro gra mach, ta kże w sta rych wer sjach 
de mo na pocz to we gosendmail) lub nie roz róż niają bez piecz nych ho stów, od któ rych 
żąda nie ja kie jś usługi mo żna przyjąć, od nie bez piecz nych ho stów, któ rych żąda nia 
powinny być odrzucone. Opisaliśmy już krótko usługi finger i f/fp. Administrator 
sie ci bę dzie chciał, aby je dy nie za ufa ne ho sty mogły z nich ko rzy stać, co jest nie mo 
żli we przy ty po wej kon fi gu ra cji, w któ rej inetd udo stęp nia usługę wszyst kim klien¬ 
tom lub nie udo stęp nia jej ni ko mu. 

Przy datn ym na rzędziem do zarządza nia do stęp em ogran icz onym do za dan ego ho- 
sta jest tcpd, często nazywane demonem „wrappera"*. W przypadku usług TCP, 
które chcesz mo nit oro wać lub za bezp iecz ać, jest on wy woły wany za miast pro gramu 
ser wera. tcpd spraw dza, czy zdał ny host ma pra wo używ ać usługi i je żeli test za koń¬ 
czy się po prawn ie, uruc hamia praw dziwy ser wer. tcpdza pis uje ró wni eż żąda nia do 
de mona syslog. Za uważ, że de mon ten nie obsługuje usług opart ych na UDP. 

Na przykład, aby „opakować" de mona finger, musisz zmienić odpowiednią linię 
w pli ku inetd.conf z ta kiej: 

# demon finger wywoDywany bezpoDrednio 

finger stream tcp nowait bin /usr/sbin/fingerd in.fingerd 

na taką: 

# "opakowany" demon finger 

finger stream tcp nowait root /usr/sbin/tcpd in.fingerd 

Przy zupełnym braku kontroli dostępu będzie to wyglądało z punktu widzenia 
klienta tak jak zwykła konfiguracja finger, z tym wyjątkiem, że wszelkie żądania 
będą za pisywane przez funkcję o nazwie sysloga auth. 

Kontroladostępu jest realizowana przez dwa pliki: /etc/hosts.altowi /etc/hosts.deny. 
Za wie rają one wpi sy, któ re po zwa łają na do stęp do pew nych usług i hostów lub go 
zabraniają. Gdy tcpd obsługu je żąda nie usługi, na przykład finger od klien ta z ho sta 
o na zwie biff.foobar.com, przegląda pli ki hosts.allow i hosts.deny (w tej kolejności) 
w poszukiwaniu wpisu pasującego zarówno do usługi, jak i do hosta. Jeżeli od- 
powied ni wpis zo sta nie zna le zio ny w pli ku hosts.allow, do stęp jest udzie la ny, a tcpd 
nie sprawdza pli kuhosts.deny. Je żeli w pli kuhosts.allow nie zo sta nieznale zio ny wpis, 
ale zostanie on znaleziony w hosts.deny, żąda nie jest od rzucane przez za mknięcie 
połączę nia. Żąda nie jest jed nak ak cep to wa ne, je żeli od po wied ni wpis nie zo sta nie 
zna le zio ny w żad nym z pli ków. 

Wpi sy w pli kach do stępu wyglądają tak: 

listausDug: listahostów [: polecenie ] 


Au to rem tego de mo na jest Wiet se Ve ne ma,wktse@wzv .win .tue.nl. 
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listausOug to li sta nazw usług na pod sta wie pli ku /etc/services lub słowo klu czo- 
we ALL. Aby paso wały wszystkie usługi po zafinger i tftp, użyj ALL EXCEPT fin- 
ger, tftp. 

listahostów to li sta nazw ho stów, ad re sów IP lub słów klu czo wych ALL, L 0 CAL, 
UNKNOWN lub PARANOID. ALLpasujedodo wolnegohosta,natomiast LOCAL tył ko 
do ho stów, któ re nie za wie rają krop ki*. Do UNKNOWN pa su je do wol ny host, któ re go 
na zwy lub ad re su nie zna le zio no. Do PARANOI D pa su je do wol ny host, któ re go na¬ 
zwa nie za mie nia się na je go po praw ny ad res IP**. Do na zwy roz po czy nającej się od 
krop ki pa sują wszyst kie ho sty z do me ny o tej na zwie. Na przykład do .foobar.com 
pa su jebiff.foobar.com, ale nie pa su je nurks.fredsville.com . Do wzór ca ko ńczące go 
się kropką pa su je do wol ny host, któ re go ad res IP roz po czy na się od poda ne go wzor¬ 
ca, a więc do 172.16 pasuje 172.16.32.0, ale nie pasuje 172.15.9.1. Wzorzec po sta ci 
n.n . n. n/m.m.m.m jest traktowa nyjakad res IP i maska sieci, a więc możemy za pi¬ 
sać po przed ni przykład ja ko 172.16.0.0/255.255.0.0. Wresz cie do wol ny wzo rzec roz- 
po czy nający się od zna ku „ /" po zwa la na za da nie pli ku, w któ rym za war ta bę dzie 
lista do pa so wy wa nych wzór ców nazw ho stów lub ad re sów IP. Tak więc wzo rzec 
wyglądający jak /var/access/trustedhostsspo wo do wałby, że de mon tcpd odczytałby 
plik, spraw dzając, czy ja kieś za warte w nim wiersze od po wia dają pod łączające mu 
sięhostowi. 

Aby zakazać dostępu do usług finger i tcpd wszystkim oprócz hostów lo kal- 
nych, umie ść na stę pujący wpis w pli k\x/etc/hosts.deny i po zo staw plik letclhosts.allow 
pusty: 

in.tftpd, in.fingerd: ALL EXCEPT LOCAL, .twója.domena 

Opcjonal ne po le polecenie może za wie rać po le ce nie wy woły wa ne po do pa so wa- 
niu wpi su. Jest to przy dat ne do kon fi gu ro wa nia pułapek, któ re mogą uja w niać po ten- 
q'alnych ata kujących. Po niż szy przykład two rzy plik lo gu, w któ rym są wpi sy wa ni 
użyt kow ni cy i podłączające się ho sty. Je żeli host nie na zy wa się vlager.vbrew.com, 
do na zwy zo sta nie dodany wy nik po le ce nia finger: 

in.ftpd: ALL EXCEPT LOCAL, .vbrew.com : \ 

echo "reąuest from %d@%h: » /var/log/finger.log; \ 
if [ %h != "vlager.vbrew.com:" ]; then \ 
finger -1 @%h » /var/log/finger.log \ 
fi 

Argumenty %h i %d są rozwijane przez tcpd od po wied nio do na zwy ho sta klien ta 
i nazwy usługi. Szczegóły znajdziesz na stronie podręcznika elektronicznego 
hosts_access(5). 


* Zwy kle tylko na zwy lokalne uzyskane z /efc/tosfsnieza wie rają kropek. 

** Cho ciąż na zwa su ge ruje, że jest to wa ru nek eks tre mai ny, słowo klu czo we PARANO ID jest dobrą war to- 
ścią do my ślną, gdyż za bez pie cza przed złośli wy mi ho sta mi, któ re udają, że są kimś, kim nie są. Nie 
wszyst kie wer sje tcpd mają wkom pi lo waną obsługę PARANO ID. Je żeli two ja wer sja nie ma, mu sisz 
przekompilowaćfcpd. 




218 


Roz dział 12: V!a żne funk cje sie do we 


Pli ki se rvi ces i pro to cols 

Nu me ry po rt ów, na których są udo stęp nia ne pe w ne „stan dar do we" usługi zo stały 
zdefiniowane wdokumencieRFC Assigned Numbers. Aby pro gra my ser we rai klien¬ 
ta mogły kon wer to wać na zwy usług na te nu me ry, ka żdy host po sia da przy najm niej 
czę ść tej li sty. Znaj duje się ona w pli ku o na zwie /etc/services. Wpis wygląda tak: 

usDuga port/protokóJ [aliasy] 

UsUuga ozna cza tu taj na zwę usługi, aport de finiu je port, na którym jest ona ofe ro- 
wa na, natomiastprotokdO określa używany pro to kół trans por to wy. To ostatnie pole 
prze wa żnie ma war to śćudp lub tcp. Zda rza się, że usługa jest udo stęp nia na nie tyl¬ 
ko po przez je den pr otokół, oraz że na tym sa mym por cie udo stęp nia ne są róż ne 
usługi, je żeli pro to koły są róż ne. Po le a 1 i a sy po z wa la okre ślić al ter na ty w ne na z wy 
tej sa mej usługi. 

Zwykle nie musisz zmieniać pliku sermces, który jest dostarczany wraz z oprog- 
ramo wan iem sie ciow ym two jego Linuk sa. Nie mniej jed nak w przykładzie 12-2 po¬ 
kaz uje my ury w ek te go pli ku. 


Przykład 12-2. Przykładowyplik/etc/services 


# Plik services: 

# 

# dobrze znane usDugi 

echo 7/tcp # 

echo 7/udp # 

discard 9/tcp sink nuli # 

discard 9/udp sink nuli # 

daytime 13/tcp # 

daytime 13/udp # 

chargen 19/tcp ttytst source # 

chargen 19/udp ttytst source # 

ftp-data 20/tcp # 

ftp 21/tcp # 

telnet 23/tcp # 

smtp 25/tcp # 

nntp 119/tcp readnews # 

# 

# usDugi UNIX 

exec 512/tcp # 

biff 512/udp comsat # 

login 513/tcp # 

who 513/udp whod # 

Shell 514/tcp cmd # 

syslog 514/udp # 

printer 515/tcp spooler # 

route 520/udp router routed # 


Echo 

Discard 

Daytime 

Generator znaków 

Protokóll transmisji plików (dane) 

ProtokóO transmisji plików (sterowanie) 
Protokół! wirtualnego terminala 
Prosty protokó! przesy ania poczty elektronicznej 
P rotokół przesy ania wiadomej ci w sieci USENET 


zdalne wykonywanie BSD 
powiadomienie o poczcie 
zdalne logowanie 
zdalne who i uptime 

zdalne polecenie, hasJo nie jest uDywane 
zdalny syslog 

zdalne buforowanie drukowania 
protokó! informacyjny rutowania 


Za uważ, że usługa echo jest udos tępni ana na por cie 7 zar ówno protokołowi TCP, jak 
i UDP, i że port 512 jest używ any przez dwie różne usługi: zdał ne wy kon ywa nie 
( rexec) przez TCP i de mona COMSAT na UDP, powiadamiającegoużytkowników 
o no wej po czcie (zo bacz xbiff(lx)). 

Po dobnie jak plikseruices,bibliote kasieciowapo trze bu jesposobuna przetłumaczenie 
nazw protokołów - na przykład używanych w pliku seruices - na numery proto- 
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kołów ro zu mia ne przez war stwę IP na in nych ho stach. Dla te go po szu ku je na z wy 
w pli ku /etc/protocols. Plik ten za wie ra po jed nym wpi sie w wier szu, a ka żdy wpis 
podajenazwęprotokołuiodpowiadającyjejnumer.Prawdopodobieństworobienia 
czegokolwiek z tym plikiem jest jeszcze mniejsze niż w przypadku /etc/seroices. 
Przykład o wy plik po ka zu je my po niż ej. 

Przykład 12-3. Przykładowyplik/etc/protocols 

# 

# ProtokoDy internetowe (IP) 

# 


ip 

0 

IP 

# 

protokóD internetowy, pseudonumer protokoDu 

icmp 

1 

ICMP 

# 

internetowy protokóD komunikatów kontrolnych 

igmp 

2 

IGMP 

# 

protokóD grupowy Internet 

tcp 

6 

TCP 

# 

protokóD sterujDcy transmisjD 

udp 

17 

UDP 

# 

protokóD datagramów uDytkownika 

raw 

255 

RAW 

# 

interfejs RAW IP 


Zdalne wywołanie procedur 

Ogólny mechanizm aplikacji klient-serwer jest udostępniany przez RPC - pakiet 
zdalne go wy wołania proce dur. RPC po wstał w fir mie Sun Micro sys tems. Jest to zbiór 
na rzę dzi i funk cji bi blio tęcz nych. W a żne apli ka cje zbu do wa ne w opar ciu o RPC to 
NIS - sys tern in for ma cji sie cio wej i NFS - sie cio wy sys tern pli ków. Oba zo staną opi- 
sa ne w tej książce, od po wied nio w roz działach 13, Sys tem informacjisieciowej i 14, Sie¬ 
cią wy sys tem plików. 

Ser wer RPC za wiera zb iór pro ced ur, któ re klient może wy woły wać, wy syłając żąda¬ 
nia RPC do ser wera wraz z pa ram etr ami pro ced ury. Ser wer wy woła wska zaną pro- 
ced urę w imien iu klien ta i prze każe mu zwróconą war tość, je żeli ta ka bę dzie. Aby 
uniez ale żnić się od ma szyny, wszyst kie da ne wy mień iane po międ zy klien tem i ser¬ 
wer em są kon wert owa ne przez wy syłające go do for matu zewn ętrznej reprez enta cjida- 
nych (ExternalDa taRepresenta tion - XDR) i kon wert owa ne z po wrót em do lo kaln ej 
reprezentacji przez odbiorcę. RPC opiera się na standardowych gniazdach UDP 
i TCP przy przenoszeniu da nych w for mac ie XDR do zdał nego ho sta. Fir ma Sun 
udostępniła RPCna za sad ach oprogramowania do publicznegorozpowszechniania. 
Opis ano je w wielu RFC. 

Cza sem po praw ki w apli ka cji RPC są nie kom pa ty bil ne z in ter f ej sem wy wołania pro ce 
dur. Oczywiście zwykła zmiana serwera spowoduje awarię aplikacji, które wciąż 
oczekują pierwotnego działania. Dlatego programy RPC mają przypisane numery 
wer sji, zwy kle roz po czy nające się od 1, a po tem, wraz z ka żdą nową wer sją in ter fej su 
RPC, licz nik ten jest zwię k sza ny. Czę sto ser wer może obsługi wać kil ka wer sji jed no- 
cześnie, a klien ty w żąda niu wska żują nu mer wer sji im ple men ta cji, któ rej chcą uży wać. 

Ko mu ni ka cja po mię dzy ser we ra mi i klien ta mi RPC jest w pe w nym sen sie szc zególna. 
Ser wer RPC udo stęp nia je den lub kil ka zbi orów pro ce dur. Ka żdy ze staw na zy wa się 
programem i jest unikalnieidentyfikowany przez numer programu. Lista odwzoro¬ 
wująca na zwy usług na nu me ry pr og ramów zwy kle znaj du je się w pli ku /etc/rpc, 
którego fragmentpokazanow przykładzie 12-4. 
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Przykład 12-4. Przykładowyplik/etc/rpc 

# 

# /etc/rpc - róDne usDugi oparte na RPC 

# 


portmapper 

100000 

portmap sunrpc 

rstatd 

100001 

rstat rstat svc rup perfmeter 

rusersd 

100002 

rusers 

nf s 

100003 

nfsprog 

ypserv 

100004 

ypprog 

mountd 

100005 

mount showmount 

ypbind 

100007 


walld 

100008 

rwali shutdown 

yppasswdd 

100009 

yppasswd 

bootparam 

100026 


ypupdated 

100028 

ypupdate 


W sie ciach TCP/IP au tor zy RPC sta nęli wo bec pro blemu od wzór owa nia nu merów 
pr ogra mów na ty powe usługi sie ciowe. Za proj ekto wali ka żdy ser wer tak, by udos¬ 
tępniał por ty TCP i UDP dla ka żd ego pro gramu i ka żd ej wer sji. Ge ner alnie do wy¬ 
syłania da nych aplik acje RPC używ ają UDP, a TCP je dyn ie wte dy, gdy prze syłane 
da ne nie mieszczą się w jed nym da tag ramie UDP. 

Oczy wiś cie pro gra my kii ent ów muszą do pa so wać nu mer por tu do nu me ru pro gra¬ 
mu. Wy ko rzy sta nie w tym ce lu pli ku kon fi gu ra cyj ne go byłoby zbyt mało ela stycz¬ 
ne . Po nie waż apli ka cje RPC nie używajązarezer wo wa nych po rt ów, nie ma gwa ran- 
cji, że port, który pier wot nie był prze zna czo ny dla na szej apli ka cji ba zy da nych, nie 
zo sta nie za bra ny przez in ny pro ces. Dla te go apli ka cje RPC biorą do stęp ny port i re 
je strują go w spe cjal nym pro gra mie, na zy wa nym demonem portmapper. Portmapper 
działa ja ko usługa po śred nia dla wszyst kich serwer ów RPC funk cjo nujących na da¬ 
nym kom pu te rze. Klient, który chce skon tak to wać się z usługą o da nym nu me rze 
pro gra mu, naj pierw wy syła za py ta nie do port mappe ra na danym ho ście, a ten zwra¬ 
ca mu nu me ry po rt ów TCP i UDP, pod którymi usługa jest do stęp na. 

Nie stety port mapper może odmówić działania już wte dy, gdy zo sta nie uszkod zony 
tylko jeden punkt, podobnie jak de mon inetd dla standardowych usług Berkeley. 
Jednak ten przypadek jest jeszcze gorszy, gdyż jeżeli portmapper nie zadziała, 
wszystkie informacje o portach RPC zostaną stracone. Zwy kle oznac za to, że bę¬ 
dziesz mu sial po nown ie ręcz nie uruc homić wszyst kie ser wery RPC lub całą ma¬ 
szynę. 

W Linuksie port mapper no si na zwę /sbin/portmap lub cza sem /usr/sbin/rpc.portmap. 
Po za spraw dze niem, czy jest on uruc hami any przez sie ciowe skryp ty star towe, nie 
wy maga żadn ej kon f ig ura cji. 

Konfigurowaniezdalnego logowania i uruchamiania 

Czę sto bar dzo przy datne jest uruc homi enie ja kieg oś po lec enia na ho ście zdał nym, 
ale z mo żliw ością wpro wad zania da nych i ogląda nia wy niku przez sieć. 

Tradycyjne po le ce nia uży wa ne do wy ko ny wa nia po le ceń na ho stach zdał nych to 
rlogin, rsh i rep. Przykład po le ce nia rlogin wi dzie liś my w roz dzia le 1, Wpro wa dze nie do 
sieci.Ta mże, w pod roz dzia le Bezpieczeństwosystemu krót ko omó wi liś my za gad nie 
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nia bez pie cze ństwa związa ne z tym po le ce niem i za su ge ro wa liś my za stąpię nie go 
przez ssh. Pa kietss/zzawierazamiennikiwpostacis/ogm, ssh i sep. 

Ka ż de z tych po le ceń uru cha mia powłokę na zdał nym ho ście i po zwa la użyt kow ni- 
kowi na wykonywanie poleceń. Oczywiście klient musi mieć konto na hoście 
zdalnym, na którym jest wy ko ny wa ne po le ce nie. Tak więc, wszyst kie po le ce nia wy¬ 
korzystują pro ces u wie rzy tel nia nia. Po le ce nia r uży waj ąpoprostuna z wy użyt ko w- 
ni ka i hasła, które wy mie niają po mię dzy ho sta mibez szy fro wa nia, a więc ka żdy, kto 
słucha może łatwo przejąć hasła. Pa kiet po le ceńss/z za pew nia wy ż szy po ziom bez¬ 
pieczeństwa, gdyż wy korzy stu je tech mkękodowaniamformacjizkluczemwielodostępu 
(ang. Public Key Cryptography), która zapewniauwierzytelnianie i szyfrowanie po¬ 
między ho sta mi, co z ko lei da je pew ność, że ani hasła, ani da ne se sji nie zo staną 
łatwo prze chwy co ne przez in ne ho sty. 

Pew nym użyt kow ni kom mo żna ułatwić spraw dza nie ha sel. Na przykład, je żeli czę¬ 
sto lo gu jesz się na kom pu te rach w swo jej sie ci LAN, możesz być wpusz cza ny bez 
po trze by ciągłego wpi sy wa nia hasła. Po le ce nia ty pu r ta kże da wały taką mo żli wość, 
ale pa kiet ssh po zwa la to zro bić nie co pro ściej. Za znacz my, że nie jest to żad na re we 
la cja. Po pro stu, je żeli zdo bę dzie się już kon to na jed nej ma szy nie, mo żna uzy skać 
do stęp do wszyst kich pozo stałych kont, które użyt kow nik skon fi gu ro wał do lo go wa- 
nia się bez hasła. Jest to do syć wy god ne i dla te go użyt kow ni cy czę sto się gają po to 
rozwiązanie. 

Om ówmy usuw anie po lec eńr i uruc hami anie za miast nich pa kietu ssh. 

Wyłącza nie pole ceń r 

Roz poczn ijmy od usuw ania po lec eń r. Naj prosts zym spo sob em na wyłączę nie po¬ 
lec eńr jest poprzedzenie komentarzem (lub usunięcie) wpisów w pliku /etc/in- 
etd.conf. In ter esujące nas wpi sy wyglądają na stęp ująco: 


# Shell, login, 

exec i 

talk to 

protokody BSD 


shell 

stream 

tep 

nowait 

root 

/usr/sbin/tcpd 

/usr/sbin/in.rshd 

login 

stream 

tep 

nowait 

root 

/usr/sbin/tcpd 

/usr/sbin/in.rlogind 

exec 

stream 

tep 

nowait 

root 

/usr/sbin/tcpd 

/usr/sbin/in.rexecd 


Możesz je za kom ento wać, umieszc zając znak #na początku ka żd ego wier sza, lub 
zu pełnie usunąć wier sze. Pa mięt aj, że mu sisz uruc homić po nown ie de mona inetd, 
aby zmia na od niosła sku tek. Naj lep iej byłoby usunąć również sa me pro gramy de 
monów. 

Instalowanieikonfigurowaniessh 

OpenSSH jest dar mową wer sją pa kietu pr ogra mów ssh. Wer sję dla Linuk sa mo żna 
znaleźć pod adresem http://molet.ibs.com.au/openssh/ i w większości najnowszych 
dys trybu cji*. Nie będzie my opis y wa li tu taj kom pil acji. Dobre in strukc je znaj dują się 
wpakiecieźr ódłowym .Jeżelimożeszza ins talo wać już skom pil owa ny pa kiet, war to 
to zro bić. 


OpenSSH zo stał stwo rzo ny w ra mach pro jek tu OpenBSD i jest do sko nałym przykładem ko rzy ściz dar- 
mowegooprogramowania. 
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Se sja ss h an gaż uje dwie stro ny. Jed na z nich to klient ssh, którego mu sisz skon fig uro- 
wać i uruc homić na ho ście lo kaln ym, a dru ga to de mon ssh, który mu si działać na ho- 
ście zdalnym. 

De monssh 

Demonss/zd to pro gram, któ ry oczek uje połączeń sie ciow ych od klientów ssh, obsłu- 
gu je uwier zy te lnie nie i wy kon uje żąda ne po lec enia. Ma on je den plik kon fig ura cyj- 
ny o na zwie /etc/ssh/sshd_config i spe cjalny, re prez entujący ho sta plik, który za wiera 
klucz używany w procesach uwierzytelniania i szyfrowania. Każdy host i każdy 
klient mają własny klucz. 

W pa kie cie umiesz cza ne jest też na rzę dzie ssh-keygen, któ re służy do ge ne ro wa nia 
klucza losowe go.Zwyklejestużywanewczasieinstalacjidowygenerowaniaklucza 
hosta, który administrator zwy kle umiesz cza w pli ku /etc/ssh/ssh_host_key. Klu cze 
mogą mieć do wolną długość wię kszą od 512 bi tów. Do my śl nie ssh_keygen generuje 
klu cze długo ści 1024 bi tów, a wię k szość osób tę war tość do my ślną uzna je. Aby wy¬ 
gę ne ro wać klucz lo so wy, mu sisz wy wołać po le ce ni essh-keygen w na stę pujący spo¬ 
sób: 

# ssh-keygen -f /etc/ssh/ssh_host_key 

Zo stan iesz po pros zony o wpro wad zenie fra zy (ang.passphrase). Jed nak klu cze ho sta 
nie muszą wy kor zyst ywać fra zy, a więc po pro stu na ciśn ij [En ter] i przej dź da lej. 
Wy nik działania pro gramu bę dzie na stęp ujący: 

Generating RSA keys : .oooooO.oooooO 

Key generation complete. 

Enter passphrase (empty for no passphrase) : 

Enter same passphrase again: 

Your Identification has been saved in /etc/ssh/ssh_host_key 
Your public key has been saved in /etc/ssh/ssh_host_key.pub 
The key fingerprint is: 

1024 3a:14:78:8e:5a:a3:6b:bc:b0:69:10:23:b7:d8:56:82 root@moria 

Wi dać, że zostały utwo rzo ne dwa pli ki. Pierw szy, /etc/ssh/ssh_host_key, jest na zy wa ny 
klu czem pry wat nym i mu si być trzy ma ny w ta jem ni cy. Dru gi, /etc/ssh/ssh_host_key .pub, 
jest na zy wa ny klu czem pu blicz nym i ten możesz udo stęp niać. 

Kie dymasz klu cze ssłzdo komunikacji, mu sisz stworzyć plik konfiguracyjny. Pa kiet 
ssh ma wie le mo żliw ości i plik kon fig ura cyj ny może za wier ać wie le opcji. Po każ emy 
pro sty przykład, od którego łatwo ci bę dzie zacząć. Aby włączyć dal sze funk cje, po- 
win ieneś zaj rżeć do do kum enta cji. Po niżs zy kod po kaz uje bez pieczny i mi nim alny 
plik kon fig ura cyj ny sshd. Po zos tałe opcje kon fig ura cyj ne są szc zegółowo opis ane na 
stro nie podręcz nika elekt roni cznego sshd(8): 

# /etc/ssh/sshd_config 

# 

# Adresy IP, na których oczekiwane sD podliczenia. 0.0.0.0 

# oznacza wszystkie adresy lokalne. 

ListenAddress 0.0.0.0 

# Port TCP, na którym oczekiwane sD podliczenia. DomyDlnie 22. 

Port 22 
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# Nazwa pliku z kluczem hosta. 

HostKey /etc/ssh/ssh_host_key 

# DDugoCD klucza w bitach. 

ServerKeyBits 1024 

# Czy pozwalamy na logowanie roota przez ssh? 

PermitRootLogin no 

# Czy demon ssh powinien sprawdzaD katalogi macierzyste 

# uDytkowników i prawa dostdpu do plików przed pozwoleniem na 

# zalogowanie? 

StrictModes yes 

# Czy pozwalamy na metodD uwierzytelniania przez ~/.rhosts i 

# /etc/hosts.equiv 
RhostsAuthentication no 

# Czy pozwalamy na czyste uwierzytelnienie RSA? 

RSAAuthentication yes 

# Czy pozwalamy na uwierzytelnienie hasDem? 

PasswordAuthentication yes 

# Czy pozwalamy na uwierzytelnienie RSA w podliczeniu z 

# /etc/hosts.equiv? 

RhostRSAAuthentication no 

# Czy powinniDmy ignorowaD pliki ~/.rhosts? 

IgnoreRhosts yes 

# Czy pozwalamy na logowanie na konta bez hased? 

PermitEmptyPasswords no 

Wa żne jest spraw dzen ie praw do stępu do plików kon fig ura cyj nych, gdyż ich po- 
prawn ość ma wpływ na bez piec zeńs two sys temu. Użyj po niżs zych po lec eń: 

# chown -R root:root /etc/ssh 

# chmod 755 /etc/ssh 

# chmod 600 /etc/ssh/ssh_host_key 

# chmod 644 /etc/ssh/ssh_host_key.pub 

# chmod 644 /etc/ssh/sshd_config 

Ostatnim etapem administracji sshd jest uruchomienie de mona. Zwykle tworzysz 
dla nie go plik rc lub do da jesz go do ist niejące go, aby był au to ma tycz nie uru cha mia ny 
przy starcie komputera.Demondziałasamodzielnieiniepotrzebujeżadne go wpisu 
w pli ku /etc/inetd.conf. De mon mu si być uru cho mio ny ja ko użyt kow nik ro ot. Skład¬ 
nia jest bar dzo pro sta: 

/usr/sbin/sshd 

De monsshd au tom aty cznie przej dzie w tło za raz po uruc homi eniu. Od tej chwi li je 
steś go tów przyj mow ać połączę nia ssh. 

Klient ssh 

Ist nie je kilka pro gramów klientów ssh: slogin, sep i ssh. Każdy z nich od czy tu je ten 
sam plik kon fi gu ra cyj ny, zwy kle/et c/ssh/ssh_config. Ka żdy czy ta ta kże pli ki kon fi gu- 
ra cyj ne z pod ka ta lo gu . ssh ka ta lo gu ma cie rzy ste go uży t kow nikauruchamiającego 
klien ta. Naj wa żniej sze z tych plików to. ssh/eonfig, któ ry może za wie rać opcje o wy ż- 
szym priorytecie niż te w pliku /etc/ssh/ssh_config l plik .ssh/identity, który zawiera 
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prywatny klucz użytkownika, oraz odpowiedni plik .ssh/identity.pub zawierający 
publiczny klucz użytkownika. Inne ważne pliki to .ssh/known_hosts i .ssh/authori 
zed_keys. Omówimy je da lej w pod roz dzia \eKorzysta niezssh. Najpierw przy gotuj my 
glo bal ny plik kon f i gu ra cyj ny i plik klu cza uży t ko w ni ka. 

Plik /etc/ssh/ssh _config]estb ar dzo po dob ny do pli ku kon fi gu ra cyj ne go ser we ra. Ana- 
lo giez nie, za wie ra wie le funk cji, które mo żna kon fi gu ro wać, ale mi ni mai na kon fi gu- 
ra cja wygląda tak, jak po ka za no w przykładzie 12-5. Pozo stałe opcje kon fi gu ra cyj ne 
sąszczegółowo omówione na stro nach podręcz ni ka elek tro nicz ne gossfzd . Możesz 
dodać części odpowiedzialne za określone hosty lub grupy hostów. Parametrem 
dyrek ty wy „Hos t" może być za równo pełna na zwa ho sta, jak i na zwa za pi sa na za 
po mocą zn aków uni wer sal nych (ang.wildcards), cze go uży liś my w przykładzie, by 
uwzględnić wszyst kie ho sty. Mo gli by śmy stwo rzyć na przykład wpis, który uży¬ 
wałby Host * .vbrew. com; wtedy pasowałyby do nie go wszyst kie ho sty z do me 
ny vbrew .com. 

Przykład 12-5. Przykład o wy plik kon f i gu ra cyj ny klien ta ssh 

# /etc/ssh/ssh_config 

# Domyłlne opcje uływane przy podliczeniu z hostem zdalnym 
Host * 

# Kompresowali! dane w czasie sesji? 

Compression yes 

# .. uHywajHc którego poziomu kompresji? (1 - szybka/słaba, 9 - wolna/dobra) 
CompressionLevel 6 

# Czy skorzystał z rsh, jelleli policzenie bezpieczne sil nie uda? 
FallBackToRsh no 

# Czy powinnilmy wysyłał komunikaty o aktywnołci? 

# Przydatne, jełeli korzystasz z maskowania IP 
KeepAlive yes 

# Próbował uwierzytelniania RSA? 

RSAAuthentication yes 

# Próbował uwierzytelniania RSA w policzeniu z 

# uwierzytelnianiem .rhosts? 

RhostsRSAAuthentication yes 

W podrozdziale dotyczącymkonfiguracjiserwera wspomnieliśmy, że każdy host 
i użyt kow nik mają klucz. Klucz użyt kow ni ka jest umiesz czo ny w pli ku ~/ .ssh/identity. 
Aby wy ge ne ro wać klucz, posługu jesz się tym sa mym po le ce niem s sh-keygen, które 
służyło do ge ne ro wa nia klu cza ho sta, tyl ko, że tym ra zem nie po trze bu jesz po da wać 
na zwy pli ku, w któ rym za pi su jesz klucz. ssh-keygen do my śl nie umiesz cza go w od- 
po wied nim miej scu, ale py ta cię o na zwę pli ku na wy pa dek, gdy byś chciał go za pi¬ 
sać gdzie in dziej. Cza sem war to mieć kil ka klu czy to żsa mo ści, a więc ssh na to po¬ 
zwą la. Tak jak przed tern, ssh-keygen py ta cię o wpro wa dze nie fra zy. Fra zy dają do- 
dat ko wy po ziom bez pie cze ństwa i są do brym roz wiąza niem. Two ja fra za nie bę dzie 
wyświetlananaekraniepodczaswprowadzania. 
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Nie ma mo źli wo ści od two rze nia fra zy, gdy byś jej za po mniał. Wy my śl więc coś, co za- 
pa mię tasz, ale tak jak w przy pad ku wszyst kich haseł, niech to nie bę dzie coś oczy wi ste- 
go, pospolity rze czow nik ani two je imię. Aby fra za była na praw dę sku tęcz na, po win na 
li czyć odl0do30zna ków i nie może być zwykłym wy ra że niem. Spró buj wtrącić kil ka 
niety po wychznaków. Jeżeli za po mnisz fra zy, bę dziesz mu siał wy ge ne ro wać nowy 
klucz. 



Po win ieneś po pros ić wszyst kich swo ich uży tkowników o uruc homi enie po lec enia 
ssh-keygen, by mieć pewność, że ich klucz został stworzony po prawnie, ssh-keygen 
utworzy za nich katalogi ~/.ssh/ z odpowiednimi prawami do stępu oraz stwo rzy 
klu cze pry watny i pu bliczny od pow iednio w pli kach .ssh/identity i .ssh/identity .pub. 
Przykład owa se sja po winna wyglądać tak: 

$ ssh-keygen 

Generating RSA keys : .oooooO. 

Key generation complete. 

Enter file in which to save the key (/home/maggie/.ssh/identity): 

Enter passphrase (empty for no passphrase) : 

Enter same passphrase again: 

Your Identification has been saved in /home/maggie/.ssh/identity. 

Your public key has been saved in /home/maggie/.ssh/identity.pub. 

The key fingerprint is: 

1024 85:49:53:f4:8a:d6:d9:05:d0:lf:23:c4:d7:2a:ll:67 maggie@moria 
$ 

Te razss/z jest go towe do pra cy. 

Korzy staniezssh 

Mamy już zainstalowane polecenie ssh wraz z towarzyszącymi mu narzędziami 
pomoc ni czy mi. Wszyst ko jest go to we do pra cy. Przyj rżyj my się te raz, jak mo żna je 
uruchamiać. 

Naj pierw spró bu je my za lo go wać się do zdał ne go ho sta. Możemy posłużyć się pro- 
gra mems login w prawie identyczny sposób, jak uży waliś my programu rlogin we 
wcze śniej szym przykładzie w tej książce. Gdy za pierw szym ra zem pró bu jesz się 
łączyć z ho stem, klient ssh od czy tu je klucz pu blicz ny ho sta i py ta cię, czy po twier- 
dzasz jego to żsa mość, po ka żując skro coną wer sję klu cza pu blicz ne go na zy wanąod- 
ciskiempalca (ang. fingerprint). 

Ad mi ni stra tor ho sta zdał ne go po wi nien wcze śniej do star czyć ci „ od cisk pal ca" klu¬ 
cza publicznego tego hosta. Ten klucz powinieneś dodać do swojego pliku 
.ssh/knozvn_hosts. Jeżeli administrator zdalnego hosta tego nie zrobił, możesz po¬ 
łączyć się z hostem zdalnym, ale ssh ostrzeże cię, że nie ma klucza i zapyta, czy 
chcesz przyjąć ten ofe ro wa ny przez host zdał ny. Zakład ając, że je steś pe wien, że nikt 
nie pod szy wa się pod DNS i że połączyłeś się z po praw nym ho stem, możesz wy brać 
od po wie dźyes. Od po wied ni klucz zo sta nie za pi sa ny au to ma ty cz nie w two im pli ku 
.ssh/known_hosts i nie bę dziesz o nie go py ta ny po raz ko lej ny. Je żeli przy na stęp nej 
pró bie połączę nia klucz pu blicz ny uzy ska ny z da ne go ho sta nie bę dzie pa so wał do 
te go, któ ry prze cho wu jesz w pli ku .ssh/known_hosts, otrzy masz ostrze że nie, po nie 
waż na ru sza to bez pie cze ństwo. 
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Pierw sze lo gow anie do zdał nego ho sta bę dzie wyglądało ja koś tak: 

$ slogin vchianti.vbrew.com 

The authenticity of host 'vchianti.vbrew.com' can't be established. 

Key fingerprint is 1024 7b:d4:a8:28:c5:19:52:53:3a:fe:8d:95:dd:14:93:f5. 

Are you surę you want to continue connecting (yes/no)? yes 
Warning: Permamently added 'vchianti.vbrew.com,172.16.2.3' to the list of/ 
known hosts. 

maggie@vchianti.vbrew.com's password: 

Last login: Thu Feb 1 23:28:58 2000 from vstout.vbrew.com 
$ 

Zo stan iesz po pros zony o poda nie hasła, które po win ieneś wpro wad zić na kon to na 
ho ście zdał nym, a nie lo kaln ym. Hasło to nie po jaw ia się na ekran ie w cza sie wpi¬ 
sywania. 

Je żeli nie po damy żadn ych szcz ególnych argu mentów, slogin spróbuje za logować 
się z tym sa mym identyfikatorem użytk owni ka, ja ki jest uży wany na kom put erze lo- 
kaln ym. Możesz to zmie nić, używ ając ar gum entu -1, w którym po daje się inną na¬ 
zwę użytk owni ka lo gujące go się do ho sta zdał nego. Tak właśnie ro bil iśmy we wcze 
śniejs zym przykładzie. 

Za po mocą pro gra mu sep możemy ko pio wać pli ki za rów no ze zdał ne go ho sta, jak 
i do nie go. Skład nia jest po dob na do ty po we gocp z tą róż nicą, że mu sisz po dać na¬ 
zwę ho sta przed nazwą pli ku, co ozna cza, że ście żka do ty czy poda ne go ho sta. Po¬ 
niż szy przykład, w któ rym lo kał ny plik /tmp/fred jest ko pio wa ny do ka ta lo gu /home/ 
maggie na ho ście chianti.vbrew.com, po ka żuje składnię sep: 

$ sep /tmp/fred vchianti.vbrew.com:/home/maggie/ 

maggie@vchianti.vbrew.com's password: 

fred i00% |***************************** | 50165 00:01 ETA 

Znów zo stan iesz po pros zony o wpro wad zenie hasła. Po lec enie sep do myś lnie wy- 
świet la przy datne ko mun ika ty in form ujące o po stęp ie. Ró wnie łatwo możesz sko¬ 
piować plik z hosta zdalnego. Po prostu podaj nazwę hosta i ścieżkę jako plik 
źródłowy, a ścież kę lo kalną ja ko plik do cel owy. Mo żliwe jest również sko piow anie 
pli ku z ho sta zdał nego na in ny host zdał ny, ale zwy kle się te go nie ro bi, po niew aż 
wszyst kie da ne prze chodzą przez twój host. 

Za po mocą ssh możesz uruc hami ać po lec enia na ho ście zdał nym. Znów skład nia jest 
bardzo prosta. Niech użytkownik maggie obejrzy zawartość katalogu głównego 
ho stavchianti.vbrew.com. Może to zro bić na stęp ująco: 

$ ssh vchianti.vbrew.com ls -CF / 

maggie@vchianti.vbrew.com's password: 

bin/ console@ dos/ home/ lost+found/ pub@ tmp/ vmlinuz@ 

boot/ dev/ etc/ initrd/ mnt/ root/ usr/ vmlinuz.old@ 

cdrom/ disk/ floppy/ lib/ proc/ sbin/ var/ 

Polecenie ssh możesz umieścić w potoku poleceń i przekazywać wejście /wyjście 
pro gramu do lub z in nego pro gramu, tak jak w in nych po lec eni ach, z tą róż nicą, że 
we jśc ie lub wy jśc ie są kie row ane do lub z ho sta zdał nego przez połączę niess/z. Oto 
przykład, jak możesz wy kor zyst ać tę mo żliw ość w połączę niu z po lec eni em tar do 
przekopiowania całego ka tal ogu (z pod kat alo gami i pli kami) z ho sta zdał nego na 
host lokalny: 
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$ ssh vchianti.vbrew.com "tar cf - /etc/" | tar xvf - 

maggie@vchianti.vbrew.com 1 s password: 

etc/GNUstep 

etc/Muttrc 

etc/Net 

etc/Xll 

etc/adduser.conf 


Po le ce nie do wy ko na nia wzię liś my tu taj w cu dzysłów, aby było ja sne, co prze ka żu¬ 
jemy ja ko ar gu ment doss/zi co jest uży wa ne przez lo kalną powłokę. Po le ce nie to wy¬ 
ko nu je tar na ho ście zdał ny m, które z ko lei ar chi wi zu je ka ta log /etc i wy pisuje wy nik 
nastandardowewyjście.Zastosowaliśmypoto^przezktóryprzekazujemystandar 
do we wyjście do po le ce niator działające go na ho ście lo kal nym w try bie od czy ty wa- 
nia ze stan dar do we go we jś cia. 

Znów zo sta liś my po pro sze ni o wpro wa dze nie hasła. Te raz możesz zo ba czyć, dla¬ 
czego zachę ca liś my cię do skon figuro wania ss/z tak, że by nie py tało o hasła za ka ż- 
dym razem! Skonfigurujmy teraz naszego lokalnego klienta ssh tak, by nie pytał 
o hasło przy łącze niu się z ho stemvchianti.vbrew.com. Wspomnieliśmy wcześniej 
o pliku ,ssh/authorized_keys. Właśnie on jest uży wany do te go celu. Plik .ssh/authori 
zed_keys zawie ra klu cze publicznewszel kich zdał nych kont użyt kow ni ków, na któ re 
chce my się au to ma tycz nie lo go wać. Au to ma tycz ne lo go wa nie możesz usta wić, ko¬ 
piując za war tość pli ku .ssh/identity.pubz kon ta zdalnego do lo kal ne go pli ku .ssh/au- 
thorized_keys. Istot ne jest, by pra wa do stę pu do pli ku .ssh/authorized_keyspozwalaly 
na do stęp tyl ko to bie i tyl ko na za pis i od czyt. W prze ciw nym ra zie ktoś mógłby 
ukra ść klu cze i za lo go wać się na zdał ne kon to. Aby mieć pe w ność, że pra wa do stę pu 
są po praw ne, zmień ,ssh/authorized_keys w na stę pujący spo sób: 

$ chmod 600 ~/.ssh/authorized_keys 

Klu cze pu blicz ne to je den długi wiersz czy ste go tek stu. Je żeli uży wasz funk cji ko¬ 
pio wa nia i wkle ja nia do po wie la nia klu czy w two im pli ku lo kal nym, pa mię taj o usu- 
nię ciu wszel kich zna ków ko ńca wier sza, któ re mogły zo stać przez przy pa dek wsta- 
wio ne. Plik .ssh/authorized_keys może za wie rać wie le ta kich klu czy, ale ka żdy z nich 
mu si znaj do wać się w od dziel nym wier szu. 

Pakiet narzędzi ssh ofe ruje wie le przy dat nych funk cji i opcji, któ re war to po znać. 
W po szu ki wa niu do dat ko wych in for ma cji zaj rżyj do podręcz ni ka elek tro nicz ne go 
ido ku men ta cji do star cza nej wraz z pa kie tern. 



13 

System informacji 
sieciowej 



Gdy obsługujesz sieć lokalną, zwykle twoim głównym celem jest zapewnienie 
swoim uży t ko w ni kom ta kie go śro do wi ska, w któ rym sieć jest prze zro czy sta. Wa run 
kiem j est syn chro ni za cja na wszyst kich ho stach w sie ci ta kich da nych, jak in for ma cje 
o kon tach użyt kow ni ków. Wów czas użytków ni cy mogą swo bod nie prze sia dać się 
z kom pu te ra na kom pu ter bez po trze by pa mię ta nia róż nych ha seł i ko pio wa nia da¬ 
nych mię dzy ma szy na mi. Da ne, któ re są prze cho wy wa ne cen trał nie, nie muszą być 
replikowane, jeśli istnieje jakiś wygodny sposób na dostanie się do nich z hosta 
podłączone godosie ci. Centralne prze cho wy wanie istotnych informacjiad ministra 
cyj nych ma sze reg za let. Gwa ran tu je spój ność da nych. Da je wię kszą swo bo dę użyt¬ 
ków ni kom po przez mo żli wość prze sia da nia się z ho sta do ho sta. Ułatwia ży cie ad- 
ministra to rowisys temu, który zarządza tylko jednym „egzemplarzem" informacji. 

Wcze śniej omó wi liś my wa żny przykład cen tra li za cji da nych, po chodzący z In ter ne 
tu - sys tern nazw do men (DNS). DNS udo stęp nia ogra ni czo ny za kres in for ma cji, 
z któ rych naj wa żniej sze to tłuma cze nie nazw ho stów na ad re sy IP i od wrót nie. In ne 
typy da nych nie mają swo ich spe cja li stycz nych usług. Co wię cej, je żeli zarządzasz tyl¬ 
ko małą sie cią LAN bez do stę pu do In ter ne tu, ko rzy ści ze skon fi gu ro wa nia DN S-u 
mogą nie być war te pra cy, jaką trze ba w to włożyć. 

Dla tego właśnie fir ma Sun stwo rzyła sys teminformacjisieciowej (Networklnformation 
System - NIS). NIS to funk cje ogól nego do stępu do ba zy da nych. Za ich po mocą mo¬ 
żna dystrybuować do wszyst kich hostów w sie ci na przykład in form acje za warte 
w pli kachpasswd i group. Dzię ki te mu sieć jest wi doczna ja ko je den sys tern, z ty mi sa¬ 
mymi kon tami na wszyst kich ho stach. Po dobn ie możesz wy kor zyst ać NI S-a do dys- 
tryb uow ania in form acji o na zwie ho sta za wart ych w pli ku /etc/hosts do wszyst kich 
in nych ma szyn w sie ci. 

NIS jest opar ty na RPC i składa się z ser we ra, bi blio tek stro ny klien ta i kil ku na rzę dzi 
administracyjnych. Pierwotnie nosił nazwę Yellow Pages (lub YP); nadal można 
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spotkać się z od wołania mi do niej. Jed nak oka zało się, że na zwa ta jest zna kiem to- 
wa ro wym fir my Bri ti sh Te le com, kt óra zażądała, by Sun prze stał jej uży wać. Jak 
wiadomo, niektóre nazwy łatwo się zapamiętuje i dlatego „YP" pozostało jako 
przed ro stek w wię k szo ści po le ceń z wiąza nych z NI S-em, jakypseru i ypbind. 

Obec nie NIS jest do stęp ny prak tycz nie we wszyst kich Unik sach i ist nieją na wet dar¬ 
mowe jegoimplementacje. BSD Net-2 zawiera implementację, która pochodzi od 
wzorcowejimplementacji public do ma in fi nanso wa nej przez Su na. Kod biblio te ki 
klien ta z tej wer sji znaj do wal się przez długi czas w linuk so wej bi blio te ce libc, a pro- 
gra my ad mi ni stra cyj ne zo stały prze nie sio ne do Linuk sa przez Swe na Thummle ra*. 
Jed nak we wzór co wejimplementacjibra kujeserweraNIS. 

Peter Eriksson przygotował nową implementację o nazwie NYS**. Obsługuje ona 
zarówno NI S-a, jak i je go roz szer zoną wer sję NIS+. NYS nie tył ko udos tępnia ze staw 
na rzęd zi i ser wer NI S-a, ale ta kże cały no wy ze staw funk cji bi bliot eczny ch, kt óre 
trze ba wkom piłować w bibliotekę libc, je żeli chcesz ich używ ać. Na leży do nich no¬ 
wy sposób konfiguracji rozwiązywania nazw, który zastępuje aktualny schemat 
oparty na pli ku host.conf. 

Biblioteka GNU libc, zna na ja ko libc6 w społeczności Linuksa, zawiera uaktualnioną 
wersję tradycyjnegoNIS-aautorstwa Thor stena Ku kuka***. Obsługuje ona wszystkie 
funkcje biblioteczne udostępnione przez NYS-a i wykorzystuje również rozszerzony 
sche mat kon fi gu ra cji NYS. Wciąż po trzeb ne ci będą na rzę dzia i ser wer, ale uży cie bi¬ 
blio te ki GNU libc za osz czę dzi ci problemów z po pra wia niem i kom pi lo wa niem bi blio- 
teki. 

Ten rozdział jest poświęcony procedurom obsługi NIS-a zawartym w bibliotece 
GNU libc, a nie tej z dwóch po zo stałych pakietów. Gdy byś chciał uru cho mić któ ryś 
z tych pakietów, in struk cje za war te w tym roz dzia le mogą nie wy star czyć. Do dat ko- 
wychin for ma cji szukaj w do ku men cie NIS-HOWTO lub w książce ManagingNFS 
and NIS au tor stwa Ha la Ster na (wyd. 0'Reilly). 

Poznawanie NIS-a 

Swoją bazę z informacjami NIS przechowuje w plikach zwanych mapami (ang. 
maps), któ re z ko lei za wie rają pa ry klucz-war tość. Przykład pa ry klucz-war tość to 
na zwa użyt kow ni ka i za szy fro wa na po stać je go hasła. Plik jest prze cho wy wa ny na 
cen trał nym ho ście, na któ rym działa ser wer NI S-a i z któ re go klien ty mogą po bie rać 
informacje, używając różnych wywołań RPC. Często mapy są przechowywane 
w pli kach DBM****. 


* Ze Swe nem mo żna się skon tak to wać pod ad re sem swen@imi-paderborn.de. Klienty NI S-a są do stępne 
wpakiecieyp-linux.tar.gzpod adresem metalab.unc.eduwkatalogusj/sfem/Netoorfc 

** Z Pe te remmo żna się skon tak to wać pod ad re sempeir@lysator.liu.se. Obec na wer sja NYS to 1.2.8. 

*** Z Thor ste nem mo żna się skon tak to wać pod ad re sem kukuk@uni-paderborn.de) . 

**** DBM to prostabiblioteka do zarządzania ba za mi da nych, wykorzystująca techniki mieszające do 
przy śpieszenia ope ra cji wy szu ki wa nia. Ist nie je dar mo wa im ple men ta cja DBM stwo rzcna w ra mach 
pro jek tu GNU. Nosi ona na zwę gdbnt ijest częścią większo ści dystrybucji Linuksa. 
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Sa me ma py są zwy kle ge ne ro wa ne na pod sta wie głów nych pli ków tek sto wych, ta¬ 
kich jak /etc/hosts czy /etc/passwd. Nie któ re pli ki po trze bują po kil ka map, po jed nej 
dla ka ż de go ty pu klu cza po szu ki wań. Na przykład w pli ku hosts możesz po szu ki wać 
na zwy ho sta lub ad re su IP. W związku z tym na je go pod sta wie są two rzo ne dwie ma¬ 
py NIS o nazwach hosts.byname i hosts.byaddr. Tabela 13-1 pokazuje powszechnie 
uży wa ne ma py i pli ki, na pod sta wie któ rych są one two rzo ne. 

Ta be la 13-1. Nie któ re stan dardo we mapy NI S-a i od po wia dające im pli ki 


Plik główny 

Map(y) 

Opis 

1etc/hosts 

hosts.byname, 

hosts.byaddr 

Od wzo ro wu je ad re sy IP na na zwy ho stów. 

/etc/networks 

networks.byname, 
networks.byaddr 

Od wzo ro wu je ad re sy sie ci na ich na zwy. 

/etc/passwd 

passwd.byname, 
passwd.byuid 

Od wzo rowujezaszy fr o wa nehasłanana zwy 
użytkowników. 

/etc/group 

group.byname, 
group.by gid 

Od wzo ro wu je ID gru py na jej nazwę. 

/etc/services 

semices.byname, 
semices.bynumber 

Od wzo ro wu je opi sy usług na ich na zwy. 

/etc/rpc 

rpc.byname, 

rpc.bynumber 

Od wzo ro wu je nu me ry usług Sun RPC na na zwy 
usług RPC. 

/etc/protocols 

protocols.byname, 
protocols .bynumber 

Od wzo ro wu je nu me ry pro to kołów na ich na zwy. 

/usr/lib/aliases 

mail.aliases 

Od wzo ro wu je alia sy pocz to we na na zwy alia sów 
pocztowych. 


Pa kiety NIS obsługują ta kże in ne pli ki i ma py. Za wier ają one zwy kle in form acje dla 
aplik acji nie omaw iany ch w tej książce, taką jest ma pa bootparams używ ana przez 
ser wer Su na bootparamd. 

Dla nie któ rych map po wszech nie uży wa sięskrótów, któ re są łatwiej sze do wpi sy wa- 
nia. Na le ży jed nak pa mię tac, że je dy nie ypcat i ypmatch - dwa na rzę dzia spraw¬ 
dzające kon fi gu ra cję NI S-a - po tra fią roz wiązy wać te skro ty. Aby uzy skać pełną li¬ 
stę skro tów in ter pre to wa nych przez te na rzę dzia, uru chom na stę pujące po le ce nie: 

$ ypcat -x 

Use "passwd" for "passwd.byname" 

Use "group" for "group.byname" 

Use "networks" for "networks.byaddr" 

Use "hosts" for "hosts.byaddr" 

Use "protocols" for "protocols.bynumber" 

Use "services" for "services.byname" 

Use "aliases" for "mail.aliases" 

Use "ethers" for "ethers.byname" 

Pro gram ser wera NIS jest tra dyc yjnie na zy w any ypserv. Po jed ynczy ser wer zwy kle 
wy stare za dla sie ci średn ich rozmi arów. W du żych sie ciach możesz zde cyd ować się 
na uruc homi enie kil ku ser werów na różnych kom put era ch i w róż nych seg ment ach 
sie ci, aby rozłożyć ob ciążeń ie po międ zy ser wer ami i ru ter ami. Ser wery są syn chro- 
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nizowaneprzezwybraniejednegoserzeerayfózcneyo (ang. mastersewer) i ustaw ienie 
po zos tałych serwerów ja ko podrzędnych (ang. slave se wers). Ma py są two rzone tyl ko 
na ser wer ze główn ym. Z nie go są dys tryb uow ane do serwerów podrzęd nych. 

Dosyć skrótowo omówiliśmy pojęcie „sieci". W NIS-ie istnieje ważny termin na 
określenie zbioru wszystkich hostów, które mają wspólną konfigurację rozpow¬ 
szechni aną przez NIS: do mena NIS. Jed nak do meny NIS nie mają nic wspólnego z do¬ 
men ami, kt óre spo tkał iśmy przy omaw ianiu DN S-u. Aby uniknąć dwu znaczn ości, 
w tym roz dziale zaw sze będzie my wska zy w ać typ do meny, o kt órej mó wimy. 

Do meny NIS pełnią funk cję czy sto ad min ist racyjną. Są w za sad zie nie wid oczne dla 
użytkowników, z wyjątkiem dzielenia haseł pomiędzy wszystkimi maszynami 
w do men ie. Dla tego na zwa na dana do men ie NIS jest istotna tyl ko dla ad mi ni stra to¬ 
rów. Zwy kle może to być do wolna na zwa: cho dzi tyl ko o to, aby była in na niż na zwy 
po zos tałych do men NIS w two jej sie ci lo kaln ej. Na przykład ad min ist rator bro waru 
wir tua lne go może stwo rzyć dwie do meny NIS, jedną dla sa mego bro waru, a drugą 
dla wi niarni. Mógłby na dać im od pow iednio na zwy brewery i winery. In nym po¬ 
wszechnie stosowanym schematem jest po prostu używanie nazw domenowych 
DNS także dla NI S-a. 

Aby na dać na zwę do men ie NIS, do której na leży tw ój host, i ją wy świet lić, możesz 
użyć po lec enia domainname. Wy wołanie bez argumentów po wod uje wy pis anie ak¬ 
tualnej nazwy domeny NIS. Aby nadać nazwę domenie, musisz uzyskać prawa 
użytkownikauprzywilejowanego: 

# domainname brewery 

Domeny NIS określają, do którego serwera NIS będą wysyłane zapytania. Na 
przykład pro gram login na ho ście wi niarni po win ien oczy w iście wy syłać za pyt ania 
o hasło użytk owni ka tyl ko do ser wera NIS wi niarni (lub jed nego z nich, je żeli jest ich 
kilka), na tom iast aplik acja działająca na ho ście bro waru po winna trzy mać się ser¬ 
wera na leżące go do bro waru. 

Po zos tała jesz cze jed na za gadka do wy jaś nienia: skąd klient wie, z którym ser wer em 
ma się połączyć? Naj prosts ze roz wiąza nie to użyć ie pli ku kon fig ura cyj nego, w któ¬ 
rym znaj duje się na zwa ho sta, na którym działa ser wer. Jed nak po dej ście to jest mało 
elas tyczne, po niew aż nie po zwala klien tom na uży w anie różn ych serw erów (z tej sa¬ 
mej do meny oczyw iście) w za leż ności od ich do stępn ości. Dla tego im plem enta cje 
NI S-a opier ają się na spe cjaln ym de mon ie ypbind , dzię ki któr emu mo żna wy kryć od¬ 
powiedni serwer NIS w danej do menie. Przed wysłaniem za pytań NIS, aplikacja 
naj pierw ustala za po mocąypbind, którego ser wera ma uży wać. 

ypbindzna] du je ser we ry przez rozgłasza nie za py ta nia w lo kal nej sie ci IP. Pierw szy 
ser wer, któ ry od po wie, jest uzna wa ny za naj szyb szy i wy ko rzy sty wa ny we wszyst¬ 
kich ko lej nych za py ta niach NIS. Po pew nym cza sie ypbind po now nie szu ka ak tyw- 
nych ser we rów. Robi tak rów nież, je żeli ser wer nie jest do stęp ny. 

Dy na micz ne przy pi sy wa nie jest przy dat ne tyl ko wte dy, gdy two ja sieć udo stęp nia 
wię cej niż je den ser wer NIS. Trze ba jed nak pa mię tać, że za gra ża bez pie cze ństwu. 
ypbind na śle po wie rzy te mu, kto od po wie, bez wzglę du na to, czy jest to ofi cjal ny 
serwer NIS, czy złośliwy intruz. Nie trzeba mówić, że jest to szczególnie nie bez- 
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pieczne, jeżeli za po mocą NI S-a zarządzasz ba za mi da nych ha seł. Aby uchro nić się 
przed kłopota mi, linukso wy program ypbind posiada opcję szukania serweraNIS 
w sie ci lo kal nej lub poda nia na zwy ho sta, na któ rym działa ser wer NIS, w pli ku kon¬ 
figuracyjnym. 

NIS kontra NIS+ 

Cel i na zwa to je dynę rze czy, któ re łączą NI S-a i NIS+. NIS+ jest zbu dow any zu¬ 
pełnie in ac zej niż NIS. Za miast płaskiej prze strzeni nazw z cha otyczn ymidomenami 
NIS-a, NIS+ wykorzystuje hierarchiczną struk turę nazw po dobną do DN S-u. Za¬ 
miast map, używ ane są tak zwa ne tabele, kt óre skład ają się z wier szy i ko lumn. Ka ż- 
dy wiersz za wiera obiekt z ba zy da nych NIS+, a ka żda ko lumna opis uje własnoś ci 
obiektu NIS+. Ka żda ta bela dla da nej do meny NIS+ za wiera da ne z do meny nad¬ 
rzędnej. Po nadto wpis wtabelimożeza wier aćdowiązaniedoin nej ta beli. Te f unk cj e 
umoż liwi ają porządków anie in form acji na wie le spo sobów. 

NIS+ dodatkowo obsługuje bezpieczne i szyfrowane RPC, co znacznie pomaga 
w roz wiązy wan iu pr obi emów z bez piec zeńs twem, któ re ujawniły się w przy padku 
NIS-a. 

Tra dyc yjny NIS używa RPC w wer sji 2, na tom iast NIS+ - w wer sji 3. W cza sie pi san- 
ia tej książki nie ma jesz cze do brze działającej im plem enta cji NIS+ dla Linuk sa, dla¬ 
tego nie po święć amy wię cej miej sca te mu te mat owi. 

NIS-strona klienta 

Je żeli znasz się na pi sa niu lub prze no sze niu apli ka cji sie cio wych, za pew ne za uwa- 
żyłeś, że wię k szość przed sta wio nych map NIS od po wia da funk cjom bi bliotecznym 
z biblio te ki C. Na przykład, aby uzy skać in for ma cje o passwd, uży wasz funk cji get pw- 
nam i getpwuid, zwracających informacje o koncie związane odpowiednio z daną 
nazwą użytkownika lub jego ID. W normalnych warunkach funkcje te realizują 
prze szu ki wa nie stan dar do we go pli ku, na przykład /etclpasswd. 

Im plem enta cja tych funk cji uwzględn iającaNI S-a mo dyf iku je jed nak to za chow anie 
przez do dan ie do ser wera NIS wy wołania RPC, które szu ka na zwy uży tk owni ka lub 
je go ID. Dzie je się to nie wid ocznie dla aplik acji. Funk cja może trak tow ać da ne NIS 
tak, jak by były za warte w oryg ina lnym pli kupasswd, a więc oba ze stawy in form acji 
są do stępne dla aplik acji i przez nią wy kor zyst ywane, lub tak, jak by zu pełnie za¬ 
stęp owały da ne wpasswd i wte dy je ignor uje, a wy kor zyst uje tyl ko da ne NIS. 

W tradycyjnych implementacjach NIS-a obowiązywały pewne ustalenia co do tego, 
kiedy ma py były za stę po wa ne in ny mi, a kiedy doda wa ne do ory gi nal nych in for ma cji. 
Nie któ re ma py, ta kie jak passwd , wy ma gały mo dy f ika cji pli kupasswd. Je żeli została ona 
wykonana niepoprawnie, tworzyły się dziury w bezpieczeństwie. Aby uniknąć tych 
pułapek, NYS i GNU libc wykorzystują ogólny schemat konfiguracji określający, czy 
da ny ze staw funk cji klien ta uży wa ory gi nal nych pli ków, pli ków NIS czy NIS+ i w ja¬ 
kiej ko lej no ści. Ten sche mat bę dzie opi sa ny w dal szej czę ści te go roz działu. 
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Eksploatowanie serwera NIS 

Dość już tej teo ret ycznej pa plan iny. Czas przyj rzec się, jak działa rze czyw ista kon¬ 
figuracja. W tym podrozdziale omówimy konfiguracjęserwera NIS. Jeżeli serwer 
NIS już działa w two jej sie ci, nie mu sisz two rzyć własnego i możesz bez szko dy dla 
sie bie po minąć ten pod rozd ział. 

Pamiętaj,żejeżelizamierzaszeksper yme ntow ać z ser wer em, mu sisz u waż ać, by nie 
zdu blow ać na zwy do meny NIS. Mogłoby do jść do awar ii usługi w całej sie ci. Nie 
mówiąc już o zde nerw owa niu współużytkowników. 

Ist nieją dwie mo żli we kon fi gu ra cje ser we ra NIS: ja ko ser we ra główn ego i ja ko podrzęd¬ 
ne go. Konfiguracja ser we ra podrzędne goda je działający komputer za pa sowy na wypa 
dek, gdyby ser wer główny uległ awa rii. Omó wimy tu taj je dy nie kon fi gu ra cję ser we ra 
głównego. Do kumen ta cjaser we rawyjaśniaróżnice między ty midwo ma konfiguracja 
mi, a więc zaj rżyj do niej, gdy byś mu siał skon fi gu ro wać ser wer podrzęd ny. 

Obecnie istnieją dwa dar mowę ser wery NIS dostępne dla Linuksa: je den za warty 
w pa kiec ie yps To biasa Re bera i dru gi - w pa kiec ie ypsew Pe tera Eriks so na. Nie gra 
ro li, kt óry z nich uruc homi sz. 

Po zainstalowaniu programu serwera ( ypsew) w katalogu /usr/sbin, powinieneś 
stworzyć katalog, w którym będą przechowywane pliki map rozpowszechniane 
przez twój ser wer. Przy kon fi gu ro wa niu do me ny NIS dla do me ny brewery, ma py 
będą umiesz czo ne wka ta lo gu /var/yp/breivery. Za nim ser wer zde cy du je się obsługi¬ 
wać konkretną domenę, sprawdza, czy istnieje jej katalog map. Jeżeli wyłączasz 
usługę dla ja kie jś do me ny NIS, pa mię taj o usu nię ciu ka ta lo gu. 

Ma py zwy kle są prze chow ywa ne w pli kach DBM, aby przy śpies zyć po szu ki wa nia. 
Two rzo ne są na pod staw ie pli ków główn ych za po mocą pro gramu makedbm (dla ser¬ 
wera To biasa) lub dbmload (dla ser wera Pe tera). 

Prze kształcą nie pli ku główn ego do po staci, kt órą może zro zum i eć dbmload, zwy kle 
wy maga pe w nych ma giczn ych po lec eń aro/c i sed, które są męczące przy wpi sy w aniu 
i trud ne do za pam ięta nia. Dla tego pa kiet Pe tera Erik s so na, ypsew, za wiera plik Ma- 
kefile (nazwany ypMakefile), który realizuje tę konwersję dla większości plików 
główn ych. Po win ieneś za ins talo wać go pod nazwą Makefile w ka tal ogu map i do- 
kon ać edyc ji, aby uwzględn iał ma py NI S-a, kt óre chcesz współdzie lić. Na początku 
pli ku znaj dziesz cel all, który za wiera usługi ofer owa ne przez ypsew. Domyślnie 
wiersz wygląda tak: 

all: ethers hosts networks protocols rpc services passwd group netid 

Je żeli na przykład nie chcesz ge ner ować map ethers.byname i ethers.byaddr, po pro stu 
usuń ethers z tej re guły. Aby prze tes tować swoją kon fig ura cję, możesz zacząć od 
jed nej lub dwóch map, na przykład sewices*. 

Po edy cji pli ku Makefile, będąc w ka ta lo gu map, wpisz make. Spo wo du je to au to ma- 
tycz ne wy ge ne ro wa nie i za in sta lo wa nie map. Mu siszpamiętaćoichuaktual nia niu 
po ka ż dej zmia nie do ko na nej w pli kach głów nych. W prze ci w nym ra zie zmia ny nie 
będą wi docz ne w sie ci. 
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Pod roz dział Konfigu ro wa nie klien ta NIS z GNU libcwyja śnią, jak skon fi gu ro wać kod 
klien ta NIS. Je żeli two ja kon f i gu ra cja nie działa, po wi nie neś spró bo wać do wie dzieć 
się, czy twoje zapytania docierają do serwera. Jeżeli podasz opcję —debug w wy¬ 
wołaniu po le ce nia ypsew, wy pi sze ono na kon so li ko mu ni ka ty o wszyst kich przy- 
chodzących zapytaniach NIS i zwracanych wynikach. Tam powinieneś znaleźć 
wska zów kę, gdzie le ży pro blem. Ser wer To bia sa nie ma tej opcji. 

Bezpieczeństwo serwera NIS 

Z punk tu wi dze nia bez pie cze ństwa NIS ma pod sta wową wa dę: plik passwd jest do¬ 
stęp ny prak tycz nie dla ka ż de go w całym In ter ne cie, czy li rów nież dla spo rej licz by 
po ten cjal nych in tru zów. Kie dy in truz wie, jak na zy wa się twoja do me na NIS, i zna 
ad res ser we ra, może po pro stu wysłać za py ta nie o ma pępasswd.bynamei na tych miast 
uzyska wszystkie hasła z twojego systemu (w postaci zaszyfrowanej). Z pomocą 
szyb kie go pro gra mu do łamania haseł, jak crack, i dobregosłownika,odgadnięcie 
ha seł, przy najm niej kil ku uży tkownikó w, nie sta no wi pro ble mu. 

Tu właśnie przy daje się opcja securenets. Na pod staw ie adr esów IP lub numerów sie 
ci ze zwa la na do stęp do two jego ser wera NIS tyl ko pew nym ho storn. Ostatn ia wer¬ 
sja ypserv im plem entu je tę funk cję na dwa spo soby. Pierw szy opiera się na spe cjalrt- 
ym pli ku kon fig ura cyj nym /etc/ypsero.securenets, a dru gi używa od pow iedni ch pl i- 
ków /etc/hosts.alloiv i /etc/hosts.deny, które om owiliśmy w roz dziale 12, Ważnefunkcje 
sieciowe 1 '. Aby więc ogran icz yć do stęp do hostów z bro waru, ad min ist rator sie ci po- 
win ien do dać po niżs zy wiersz do pli ku hosts.allow: 

ypserv: 172.16.2. 

Po zwoli to wszyst kim ho storn o ad res ach IP 172.16.2.0 na do stęp do ser wera NIS. 
Aby zabronić dostępu wszystkim pozostałym hostom, musisz umieścić w pliku 
hosts.deny następujący wpis: 

ypserv: ALL 

Numery IP nie są jedynym sposobem na określenie hostów (lub sieci) w pliku 
hosts.allow i hosts.deny. Sz czegóły znaj dziesz na stro nie podręcz nika hosts_access(5) 
w two im sys tem ie. Jed nak pa mięt aj ,zenie możesz uży w aćnazwhostalubdomenwe 
wpi sie yp s e rv. Je żeli po dasz na zwę ho sta, ser wer bę dzie pr óbował ją roz wiązać, 
ale re solver z ko lej wy wolaypsero i wej dziesz w nie skoń czoną pę tlę. 

Aby skonfigurować bezpieczeństwo securenets za pomocą metody /etc/ypserv. 
secwreuefs, musisz stworzyć plik konfiguracyjny /etc/ypserv.securenets. Ten plik kon fi- 
guracyj ny ma prostą struk tu rę. Ka żdy wiersz opi su je host lub sieć, któ re mają do stęp 
do ser we ra. Wszel kie ad re sy nie opi sa ne przez wpi sy w tym pli ku nie będą miały 
do stę pu do ser we ra. Wiersz roz po czy nający się do zna ku #bę dzie trak to wa ny ja ko 
ko men tarz. Przykład 13-1 po ka zu je, jak wygląda pro sty plik /etc/ypserv.securenets. 


Włączę niemetody /etc/hosts.allmvmoże wy ma gać ponownej kom pila cji serwera. Prze czy tajinstrukcje 
za war te w pli ku README do łączo nym do pa kie tu dys trybu cyj ne go. 
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Przykład 13-1. Przykład o wy plikypse rv.se cu re nets 

# dopuszczenie po I cze’ z lokalnego hosta - potrzebne 
host 127.0.0.1 

# to samo co 255.255.255.255 127.0.0.1 

# 

# dopuszczenie peflhczeD z dowolnego hosta z sieci browaru 

# wirtualnego 
255.255.255.0 172.16.1.0 

# 

Pierw szy wpis w ka żdym wier szu to ma ska sie ci, a słowo klu czowe host jest trak¬ 
tów ane ja ko "ma ska sie ci 255.255.255.255". Dru gi wpis w ka żdym wier szu to ad res 
IP, którego do tyc zy ma ska sie ci. 

Trze cia mo żli wość to uży cie bez piecz ne go port mappe ra za miast securenets w ypseru. 
Bezpieczny portmapper (portmap-5.0) wykorzystuje także sche mat hosts.allow, ale 
udostęp nia go dla wszyst kich ser we rów RPC, a nie tyl ko dla ypseru*. Jed nak nie po wi¬ 
nie neś uży waćjednocześ nie opcji securenets ibez piecz ne go portmappe ra, po nie waż 
spo woduje tonadmiar uwierzytelnia nia. 

KonfigurowanieklientaNISzGNUlibc 

Opisze my te raziomówimy konfigurację klienta NI S-a wy ko rzystującegobiblio tekę 
GNU libc. 

Pierw szym kro kiem po win no być po wia do mie nie klien ta NIS, którego ser we ra ma 
uży wać. Wspo mnie liś my wcze śniej, że to ypbind dla Linuk sa po zwa la ci na skon fi gu- 
rowa niewłaściwegoser we ra NIS. Domyśl ne zacho wa nie po le ga na szu ka niu ser we 
ra w sie ci lo kal nej. Je żeli ist nie je praw do po do bie ństwo, że kon fi gu ro wa ny host (na 
przykład lap top) bę dzie prze no szo ny z jed nej do me ny do dru giej, po wi nie neś po zo- 
sta wić plik /etc/yp.conf pu sty i po szu ki wać ser we ra w sie ci lo kal nej. 

Bez pieczn iejsza kon fig ura cja hos tów po lega na ustaw ieniu na zwy ser wera w pli ku 
konfiguracyjnym /etc/yp.conf. Bardzo prosty plik dla hosta z sieci winiarni może 
wyglądać tak: 

# yp.conf - Konfiguracja YP dla biblioteki GNU libc 

# 

ypserver vbardolino 

Dyrektywa yp s e rve r mó wi two jemu ho stowi, by używał poda nej na zwy ja ko ser¬ 
wera NIS dla do meny lo kaln ej. W tym przykładzie po dal iśmy ser wer NIS vbard oli- 
no . Oczy w iście w pli ku hosts mu si znaj dow ać się ad res IP od pow iadający vbard oli- 
no . Możesz również użyć sa mego ad resu IP ja ko ar gum entu s e rve r . 

W postaci pokazanej w przykładzie polecenieypseruer inform u]eypbind, aby uży¬ 
wało ser wera o za dan ej na zwie bez wzglę du na to, ja ka jest ak tua Ina do mena NIS. Je 
żeli jednak często przenosisz swój komputer pomiędzy różnymi domenami NIS, 
war to za chow ać w pli ku yp.conf in form acje o ser wer ach dla kil ku do men. Umiesz- 


BezpiecznyportmapperjestdostępnyprzezanonimowyserwerFTPpodadresem ftp.win.tue.nl w ka¬ 
talogu Ipub/security/ 
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czasz je tam za pomocą dyrektywy domain. Na przykład mógłbyś zmienić po¬ 
przedni przykład owy plik, aby dla łap topa wyglądał tak: 

# yp.conf - Konfiguracja YP dla biblioteki GNU libc 

# 

domain winery server vbardolino 
domain brewery server vstout 


Pozwala ci to podłączyć laptopa do dowolnej z dwóch domen przez ustawienie 
w czasie inicjacji komputera odpowiedniej domeny NIS poleceniem domainname. 
Klient NIS używa ser wera od pow iedni ego dla da nej do meny. 

Ist nieje trze cia mo żliw ość, kt óra może się przy dać. Do tyc zy sy tua cji, gdy nie znasz 
ani na zwy, ani ad resu IP ser wera używ ane go w okreś lonej do men ie, ale ob staj esz 
przy używ aniu stałej na zwy w pew nych do men ach. Wy obraź my so bie, że chce my 
wy mus ić ko rzys tanie z za dan ego ser wera w do men ie wi niarni, ale w do men ie bro¬ 
waru chce my szu kać ser wera w sie ci. Mo glib yśmy zmo dyf iko wać nasz plik yp.conf 
do ta kiej po staci: 

# yp.conf - Konfiguracja YP dla biblioteki GNU libc 

# 

domain winery server vbardolino 
domain brewery broadcast 

Słowo klu czowe broadcast mówi ypbind, by używał w do menie do wolnego, zna- 
lez ione go ser wera NIS. 

Po stwo rzen iu te go pod staw owe go pli ku kon fig ura cyj nego i upewn ieniu się, że jest 
on czy teiny dla wszyst kich, po win ieneś wy kon ać sw ój pierw szy test podłączę nia się 
do ser wera. Spraw dź, czy ko rzys tasz z map roz pow szechni anych przez twój ser wer, 
jak hosts.byname, i sp rób uj je od czyt ać za po mocą na rzęd ziaypcat: 


# ypcat hosts.byname 

172.16.2.2 vbeaujolais.vbrew.com 

172.16.2.3 vbardolino.vbrew.com 

172.16.1.1 vlager.vbrew.com 

172.16.2.1 vlager.vbrew.com 

172.16.1.2 vstout.vbrew.com 

172.16.1.3 vale.vbrew.com 

172.16.2.4 vchianti.vbrew.com 


vbeaujolais 

vbardolino 

vlager 

vlager 

vstout 

vale 

vchianti 


Uzyskany wy nikpowinienprzy pominąć to, copo kazaliśmy po wyżej. Je żeli poją wił 
siękomunikatbłęduotreściCan' t bind to server which serves domain, to 
albo ustawiona przez ciebie nazwa do meny NIS nie ma ser wera zdefiniowane go 
w pliku yp.conf, albo serwer z jakiegośpowodu jest nie osiągał ny. W tym drugim 
przypad ku spraw dź, czy ping do ho sta da je po zy tyw ny wy nik, i czy ser wer NIS rze 
czy wiś cie działa. Możesz to sprawdzić, używając po le ce nia rpcinfo, któ re po win no po- 
ka zać nas tę pujący wy nik: 

# rpcinfo -u serwer ypserv 

program 100004 version 1 ready and waiting 

program 100004 version 2 ready and waiting 
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Wybór odpowiednich map 

Je żeli je steś w sta nie sko mu ni ko wać się z ser we rem NIS, mu sisz zde cy do wać, któ re 
pli ki kon f i gu ra cyj ne za stąpić in ny mi, a do któ rych dodaćmapyNIS-a.Prze wa żnie 
bę dziesz chciał uży wać dwóch map NI S-a: do prze szu ki wa nia ho stów i do prze szu- 
ki wa nia ha seł. Pierw sza jest szcze gól nie przy dat na, je żeli nie masz usługi na zew ni- 
czej BIND. Druga pozwala na logowa nie się wszystkich użytkowników na kon ta 
z do wol ne go sys te mu na leżące go do do me ny NIS. Ma to szcze gól ne zna cze nie, je 
żeli po siadasz cen trał nyka ta log/home, który ho sty współdzielą przez NFS. Ma pa ha¬ 
seł zo sta nie szcze gółowo omó wio na w na stęp nym pod roz dzia le. 

In ne ma py, ta kie jak services. byname, nie dają tak znacz nych ko rzy ści, ale po zwa łają 
za osz czę dzić nie co pra cy edy cyj nej. Ma pa sernices. byname jest cen na, je żeli in sta lu- 
jesz jakieś aplikacje sieciowe wykorzystujące usługi o nazwach, których nie ma 
w stan dar do wym pli kuseruices . 

Za pew ne chciałbyś mieć ja kiś wy bór po mię dzy tym, czy funk cja wy szu ki wa nia uży¬ 
wa plików lokalnych, zapytujeserwer NIS, czy uży wa innych ser we rów, jak np. 
DNS. GNU libc po zwa la ci skon fi gu ro wać ko lej ność, w któ rej funk cja uzy sku je do¬ 
stęp do tych usług. Jest to kon tro lo wa ne przez plik letc/nsswitch.conf,któ re go na zwa 
jest skrótem od Name Sernice Switch. Plik ten oczywiście nie jest ograniczony do 
usługi na zew ni czej. Może za wie rać wier sze dla do wol nych usług wy szu ki wa nia da¬ 
nych, obsługi wa nych przez GNU libc. 

Poprawna kolejność usług zależy od typu danych, oferowanych przez każdą 
z usług. Jest mało praw do po dob ne, by ma pa sernices.byname za wie rała wpi sy róż¬ 
niące się od tych w lo kal nym pli ku sewices, bę dzie je dy nie miała do dat ko we wpi sy. 
A więc sen sow ne wy da je się ko rzy sta nie z pli ku lo kal ne go w pierw szej ko lej no ści, 
a spraw dza nie NI S-a tyl ko wte dy, gdy na zwa usługi nie zo sta nie zna le zio na. Z dru¬ 
giej stro ny in for ma cje o na zwie ho sta mogą się czę sto zmie niać, a więc ser wer DNS 
lub NIS po wi nien zaw sze mieć ak tu al ne in for ma cje, na to miast plik hosts służy je dy¬ 
nie ja ko ko pia za pa so wa na wy pa dek, gdy by DNS lub NIS nie działały. Dla te go 
w przy pad ku nazw ho stów, zwy kle plik lo kal ny spraw dza się na ko ńcu. 

Po niżs zy przykład po kaz uje, jak wy mus ić na funk cjach gethostbyname i gethos tby- 
addr, by naj pierw ko rzys tały z NIS i DNS, a po tem do piero z pli ku hosts, oraz jak 
spra wić, by funk cja getsernbyname naj pierw ko rzys tała z pl ików lo kaln ych, a do piero 
po tem z NI S-a. Te funk cje re solvera będą ko lejno wy prób owywały ka żdą z poda¬ 
nych usług. Je żeli wy szuk iwa nie się po wied zie, zo stan ie z w róco ny wy nik. W prze 
ciw nym ra zie zo stan ie spraw dzona ko lejna usługa z li sty. Kon fig ura cja pli ku dla ta¬ 
kiej ko lejn ości wygląda na stęp ująco: 

# mady przykDadowy plik /etc/nsswitch.conf 

# 

hosts: nis dns files 

services: files nis 

Po niż ej po ka za no pełną li stę usług i lo ka li za cji, któ re mogą być uży wa ne we wpi sie 
w pliku nsswitch.conf. Rzeczywiste mapy, pliki, serwery i obiekty są zapytywane 
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w za le ż no ści od na zwy wpi su. Ele men ty z po niż szej li sty mogą po ja wiać się za dwu¬ 
kropkiem: 

nis 

Zastosowanie ser we ra ak tu al nej do me ny NIS. Lo ka li za cja ser we ra jest de fi nio- 
wa na w pli ku yp.conf, zgod nie z opisem w po przed nim pod roz dzia le. W przy¬ 
padku wpisu hosts prze szu ki wanesą mapyhosts.byname i hosts.byaddr. 

nisplus lub nis + 

Za sto so wa nie ser we raNIS+ dla tej do me ny. Lo ka li za cja ser we ra jest usta la na na 
pod sta wie pli ku /etc/nis.conf. 

dns 

Za sto sowa nie ser we ra naz w DN S.Tentypusługijestprzydatnytylko we wpi sie 
hosts. Wy ko rzy sty wa ne ser we ry na zwy są wciąż okre śla ne na pod sta wie stan¬ 
dardowego pliku resoh.conf 

f ileś 

Za sto so wa nie pli ku lo kal ne go, na przykład /etc/hos ts, dla wpi su h o s t s. 

compat 

Kompatybilność ze starymi formatami plików. Ta opcja może być przydatna, 
gdy do po szu ki wań NIS lub NIS+ jest uży wa ny NYS lub glibc 2.x. Choć nor mal- 
nie te wer sje nie po tra fią in ter pre to wać star szych wpi sów NIS w pli kach passwd 
igroup , opcja compat po zwala działać im z tymi for ma ta mi. 

db 

PoszukiwanieinformacjiwplikachDBMumieszczonychwkatalogu/iw/dh Na¬ 
zwa pli ku jest taka sama jak od po wia dająca jej mapa NIS. 

Aktualnie obsługa NIS-a w GNU libc dotyczy następujących baz danych nsswi- 
tch.conf. aliases, ethers . group, hosts, netgroup, network, passwd, pro- 
tocols, publickey, rpc, services i shadow.Prawdopodobniezostanądodane 
następnewpisy. 

Przykład 13-2 po kaz uje bar dziej złożone wy ko rzy sta nie in nej funk cji pli ku nsswi- 
tch.conf. Słowo kluczowe [NOTFOUND=r eturn ] we wpi sieho s t sinform uje klienta 
NIS, by ko ńczył po szuk iwa nie, je żeli żąda ny elem ent nie zo stan ie zna lez iony w ba¬ 
zach NIS lub DNS. To zna czy, że klient NIS bę dzie kon tyn uował prze szuk iwa nie 
plik ów lo kaln ych tylko wte dy, gdy prze szuk iwa nie serw erów NIS i DNS się nie uda 
z ja kieg oś in nego po wodu. Pli ki lo kalne będą uży w ane je dyn ie w cza sie inic jacji i ja¬ 
ko ko pia za pas owa w sy tua cji, gdy ser wer NIS nie działa. 

Przykład 13-2. Przykład o wy plik nsswi tch.conf 

# /etc/nsswitch.conf 

# 

hosts: nis dns [NOTFOUND=return] files 

networks: nis [NOTFOUND=return] files 

services: files nis 

protocols: files nis 

rpc: files nis 
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Biblioteka GNU libc pozwala na inne możliwe działania. Opi sa no to na stro nach 
podręcz nikaelektroniczne go nsswitch. 

Ko rzy sta nie z map pas swd i gro up 

Jed nym z głów nych za sto so wań NI S-a jest syn chro ni zo wa nie in for ma cji o kon tach 
i uży t kow ni kach na wszyst kich ho stach w do me nie NIS. W re zul ta cie zwy kle po sia¬ 
dasz tyl ko lo kal ny plik /etc/passwd, do któ re go są do da wa ne in for ma cje z map NIS. 
Jed nak pro ste włączę nie prze szu ki wa nia NIS dla tej usługi w pli ku nsswitch.conf nie 
wystarczy. 

Jeżeli chcesz się opierać na informacjach o hasłach rozpowszechnianych przez 
NI S-a, naj pierw mu sisz spraw dzić, czy ID użyt kow ni ków w two im lo kal nym pli ku 
passwd są zgod ne z ID użyt kow ni ków wi dzia nych przez ser wer NI S-a. Spój ność ID 
użytkowników jest także istotna dla innych celów, jak montowanie wolumenów 
NFS z in nych ho stów w two jej sie ci. 

Je żeli ja kiś nu mer ID w pli kach /etc/passwd lub /etc/group róż ni się od ID za war te go 
w ma pach, mu sisz po pra wić pra wa własno ści wszyst kich plików da ne go użyt kow- 
nika.Najpierwpowinieneśzmienićwszystkiewartościuid i gid w pli kaćhpasswd 
i group na no we, a na stęp nie spraw dzić, czy wszyst kie pli ki na leżące do użyt kow ni- 
ka mają po praw ne pra wa i ewen tu al nie zmie nić ich właści cie la. Załóżmy, że news 
ma ID użytkownika 9, a okir miał przed zmianą ID użytkownika 103. Jako root 
mógłbyś wydać na stę pujące po le ce nia: 

# find / -uid 9 -print >/tmp/uid.9 

# find / -uid 103 -print >/tmp/uid.103 

# cat /tmp/uid.9 | xargs chown news 

# cat /tmp/uid.103 | xargs chown okir 

Wa żne,byś wy dał te polec enia po za ins talo wan iu no wego pli ku passwd i byś po znał 
wszyst kie na zwy pl ików, za nim zmie nisz pra wa własnoś ci ja kieg oko lwiek z nich. 
Aby uakt ual nić pra wa własnoś ci plików dla gru py, użyj po dobn ej me tody, ale za¬ 
miast uid, zastosuj gid, a za miast chown - chgrp. 

Gdy to zro bisz, nu me ry u i d oraz gi d w two im sys te mie będą zgod ne z nu me ra mi 
na po zo stałych ho stach w two jej do me nie NIS. Ko lej nym kro kiem jest do da nie wier¬ 
szy kon fi gu ra cyj nych do nsswitch.conf, po zwa łających na wy szu ki wa nie inf or ma cji 
o użyt kow ni kach i gru pach w NI S-ie. 

# /etc/nsswitch.conf - obsDuga passwd i group 

passwd: nis files 

group: nis files 

Od tego zależy, gdzie polecenie login i wszystkie pochodne szukają informacji 
o użyt kow ni ku. Gdy użyt kow nik pró bu je się za lo go wać, login py ta naj pierw mapy 
NIS, a jeżeli to poszukiwanie się nie uda, powraca do pli ków lokal nych. Zwy kle 
z pli kó w lo kal nych usu wasz pra wie wszyst kich użyt kow ni ków i po zo sta wiasz je dy 
nie wpi sy dlaroot i kont ogól nych, ta kich jakmail. Ro bi się tak dla te go, że istot ne za¬ 
dania sys te mo we wy ma gają przetłuma cze nia war to ści u i d na na zwy użyt kow ni ka 
lub od wrót nie. Na przykład zada nia ad mi ni stra cyj n ecron mogą wy konywaćpolece 
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nie su, by tymczasowouzyskaćprawaużytkownika news, lub pod sys tem UUCP 
może wy syłać ra port o sta nie. Je żeli news i uucp nie będą miały wpi sów w lo kal nym 
pli ku passwd, za da nia nie przejdą na wet przez etap prze szu ki wań NI S-a. 

Je żeli uży wasz też sta rej im ple men ta cji NI S-a (obsługi wa nej przez tryb c omp a t dla 
pli ków passwd i group w im ple men ta cjach NYS lub glibc), mu sisz wsta wić w pli kach 
passwd dziwne wpi sy spe cjal ne. Wpi sy te in for mują, gdzie zo staną wsta wio ne re kor¬ 
dy NIS w ba zie in for ma cji. Wpi sy mogą zo stać do da ne w do wol nym miej scu pli ku, 
zwy kle na je go ko ńcu. Wpi sy do da wa ne do pli ku / etc/passwd są na stę pujące: 


a do pli ku /etc/groups: 

Za rów no w glibc 2.x, jak i w NYS możesz zmie niać pa ra me try w re kor dzie użyt kow- 
ni ka uzy ska nym z ser we ra NIS, tworząc wpi sy ze zna kiem + umiesz czo nym przed 
nazwą użyt kow ni ka, i usu wać pew ne wpi sy, do dając znak -. Na przykład wpi sy: 

■fstuart::::::/bin/jacl 
-jedd:::::: 

uniew ażnią powłokę zde fin iowaną dla użytk owni ka stuart na ser wer ze NIS i nie 
pozwolą użytkownikowi jedd za log ować się na tej ma szyn ie. Po la pu ste, nie wy- 
pełnio ne, oznac zają wy kor zyst anie in form acji do stare zony ch przez ser wer NIS. 

Są tu jed nak d wa po wa żne za strze że nia. Po pier w sze, opi sa na do tej po ry kon f i gu ra- 
cja działa tyl ko dla lo go wa nia, któ re nie wy ko rzy stu je ha seł sha dow. Za wiłości ko¬ 
rzy sta nia z ha seł sha dow wNI S-ie zo staną omó wionę w ko lej nym pod roz dzia le. Po 
dru gie, po le ce nia lo go wa nia nie są je dy ny mi, któ re do stają się do pli ku passwd - po¬ 
równaj po le ce nie Is, któ re go wciąż uży wa wie le osób. W pełnym li stin gu Is wy świe- 
tla na zwy sym bo licz ne użyt kow ni ka i gru py, któ rzy są właści cie la mi pli ku. To zna¬ 
czy, że w przy pad ku na po tka nia każdego uid i gid po le ce nie mu si za dać za py ta nie 
do ser we ra NIS. Za py ta nie NIS trwa nie co dłużej, niż rów no wa żne prze szu ki wa- 
nie pli ku lo kal ne go. Może się oka zać, że umiesz cze nie w NI S-ie in for ma cji z pli ków 
passwd i group znacz nie zmniejsza wydajność pro gra mów, któ ręczę sto ko rzy stają 
z tych in for ma cji. 

To jeszcze nie wszystko. Wyobraź sobie, co się stanie, jeżeli użytkownik zechce 
zmie nić hasło. Zwy kle wy wołuje on po le ce nie passwd, któ re wczy tu je no we hasło i 
uaktualnia lokalny plikpasswd. Jest to nie mo żli we w przy pad ku NI S-a, gdyż plik nie 
jest nig dzie do stęp ny lo kal nie, a lo go wa nie się użyt kow ni ków do ser we ra NIS za ka¬ 
żdym ra zem, gdy chcą oni zmie nić hasło, nie jest ta kże do brym roz wiąza niem. Dla- 
te go NIS udo stęp nia za stęp cępasswd - po le ce nieyppasswd, któ re obsługu je zmianę 
hasła w NI S-ie. Aby zmie nić hasło na ser we rze, łączy się ono przez RPC z de mo nem 
yppasswdd na tym ser we rze i prze ka zu je mu ak tu al ne in for ma cje o ha ś le. Zwy kle in- 
sta lu je sięyppasswd, za miast nor mai ne go po le ce niapasswd, w na stę pujący spo sób: 

# cd /bin 

# mv passwd passwd.old 

# ln yppasswd passwd 
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W tym sa mym cza sie mu sisz za in sta lo wać na ser we rze pro gramrpc.yppasswdd i uru¬ 
chomić go ze skryptu sieciowego. Spowoduje to ukrycie przed użytkownikami 
większo ści działańNI S-a. 

Używanie NIS-a z obsługą haseł shadow 

Ko rzy sta nie z NI S-a w połączę niu z pli ka mi ha seł sha dow jest nie co kłopo tli we. Naj¬ 
pierw złe wia do mo ści: NIS pod wa ża sens uży wa nia ha seł sha dow. Sche mat ha seł 
shadow zo stał za pro jek to wa ny po to, by za bro nić użyt kow ni kom nie po sia dającym 
prawa roota dostępu do zaszyfrowanej postaci haseł. Używanie NIS-a do 
współdzie le nia da nych shado wpo wo duje ko niecz ność udo stęp nie nia za szy f ro wa- 
nych ha seł oso bom, któ re podsłuchują od po wie dzi ser we ra NIS w sie ci. Roz wiąza¬ 
nie po le gające na zmu sza niu lu dzi do wy bo ru „do brych" ha seł jest zde cy do wa nie 
lep sze, niż próba uży wa nia ha seł sha dow w śro do wi sku NIS. Przyj rżyj my się szyb¬ 
ko, jak to zro bić. 

W libc5 nie ma praw dzi we go roz wiąza nia po zwa łające go na współdzie le nie da nych 
shadow za pomocą NIS-a. Jedynym sposobem na rozpowszechnianie informacji 
o użyt kow ni kach i hasłach przez NIS jest uży cie stan dar do wych map passwd. *. Je¬ 
żeli masz zainstalowane hasła typu shadow, najprostszym sposobem na ich roz¬ 
syłanie jest generowa nie od po wiednie go pli ku passwd na pod sta wie /etc/shadow za 
po mocą na rzę dzi ta kich, jak pwuncou, i two rze nie map NI S-a na pod sta wie uzy ska- 
negopliku. 

Oczy w iście wy myś łono kil ka zab iegów, któ re umoż liwi ają uży w anie ha seł shad ow 
i NI S-a w ty m sa mym cza sie, jak na przykład in stal acja pli ku / etc/shadow na ka żdym 
ho ście w sie ci i dys tryb uow anie in form acji o użytk owni kach przez NI S-a. Jed nak ta 
sztucz ka jest na prawdę pry mit y wna i w za sad zie za prze cza istocie NI S-a, kt óry ma 
ułatwiaćadministrowaniesys ternem. 

Obsługa NI S-a w biblio te ce GNU libc (libcó) uwzględ nia hasła ty pu sha dow. Nie za- 
pew nia żad ne go roz wiąza nia, któ re udo stęp niałoby hasła, ale uprasz cza zarządza¬ 
nie hasłami w śro do wi skach, w któ rych chcesz uży wać i NI S-a, i ha seł sha dow. Aby 
to zro bić, mu sisz stwo rzyć ba zę da nych shadow.byname i do dać po niż szy wiersz do 
swo je go pli ku /etc/nsswitch. conf. 

# ObsIJuga hase typu shadow 
shadow: compat 

Jeśli używasz haseł shadow wraz z NIS-em, musisz przestrzegać pewnej zasady 
bez pie cze ństwa i ogra ni czyć do stęp do ba zy da nych NIS. Przy po mnij so bie pod roz¬ 
dział BezpieczeństwoserweraNIS z te go roz działu. 



14 

Sieciowy system 
plików 



Sie cio wy sys tem pli ków (Ne tworkFileSys tem - NFS) jest praw do po dob nie naj bar dziej 
znaną usługą opartą na RPC. Po zwa la ona na do stęp do plików znaj dujących się na 
ho ście zdał nym dokład nie w taki sam sposób, w ja ki masz do stęp do plików lo kal- 
nych. Ta ki do stęp stał się mo żli wy dzię ki połączę niu pro ce dur obsługi w jądrze i de 
monów prze strze ni użyt kow ni ka po stro nie klien ta z ser we rem NFS po stro nie ser- 
we ra. Jest on zu pełnie prze zro czy sty dla klien ta i działa po mię dzy różny mi ar chi tek 
tu ra mi ser we ra i ho sta. 

NFS ofer uje sze reg przy datn ych funk cji: 

• Dane wy ko rzy sty wa ne przez wszyst kich uży tko wników mogą być prze cho wy wa- 
ne na cen trał nym ho ście, kt órego ka ta lo gi klien ty mon tują w cza sie uru cha mia ni a. 
Na przykład możesz prze cho wy wać wszyst kie kon ta uży tkowników na jed nym 
hoście,zktóregobędzieszmontowaćkatalog//zomena wszyst kich pozo stałych. Je 
żeli NFS jest zainstalowany wraz z NIS-em, użytkownicy mogą logo wać się do 
do wol ne go sys te mu i wciąż pra co wać na jed nym ze sta wie pl ików. 

• Dane zajmujące dużo miejsca na dysku mogą być przechowywane na jednym 
hoście. Na przykład wszyst kie pli ki i pro gra my związane z La TeX-em i ME TA- 
FON T-em mogą być prze cho wy wa ne i zarządza ne w jed nym miej scu. 

• Dane ad min ist racyj ne mogą być prze chow ywa ne na osobn ym ho ście. Nie ma po¬ 
trzeby uży w ania rep do in stal acji tego sa me go głupiego pli ku na dwudziestu róż¬ 
nych kom put era ch. 

Konfigurowaniepodstawowych ope ra cji NFS po stro nie klien ta i ser we ra nie jest 
trud ne. Oma wia to ten roz dział. 

NFS dla Linuk sa to głów nie zasługa Ric ka Siad keya*, któ ry na pi sał kod NFS-a dla 
jądra i dużą czę ść ser we ra NFS. Ten ostat ni zo stał oprą co wa ny na pod sta wie ser we 


Z Ric kiem możesz skon tak to wać się pod ad re sem jrs@world.std.com . 
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ra unf sd, któ re go au to rem jest Mark Shand, i na pod sta wie ser we ra NFS hnf s, na pi¬ 
sa ne go przez Do nal da Bec ke ra. 

Przyj rżyj my się, jak działa NFS. Naj pierw klient pró bu je za mon to wać ka ta log z ho- 
sta zdał ne go w ka ta lo gu lokal nym, tak jakby mon to wał fi zycz ne urządzę nie. Jed nak 
skład nia uży wa na do okre śle nia zdał ne go ka ta lo gu jest in na. Na przykład, aby za- 
mon to wać/homez ho sta vlager w ka ta lo gu /user na ho ścievale, ad mi ni stra tor wy da¬ 
je na stę pujące po le ce nie na ho ścievale*: 

# mount -t nfs vlager:/home /users 

mount podejmie próbę skomunikowania się przez RPC z demonem rpc.mountd 
działającym na hoście vlager. Serwer sprawdzi, czy vale ma prawo zamontować 
żąda ny ka tal og. Je żeli tak, zwróci uchwyt pli ku. Ten uchwyt bę dzie używ any we 
wszyst kich ko lejn ych od wołaniach do plików w ka tal ogu /users. 

Gdy ktoś do sta je się do pli ku przez NFS, jądro wy syła wy wołanie RPC do rpc.nfsd 
(de mo na NFS) na ma szy nie ser we ra. To wy wołanie w pa ra me trach za wie ra uchwyt 
pli ku, na zwę pli ku, do któ re go się chce my do stać, i ID użytków ni ka oraz gru py te go, 
kto chce się do stać. Są one wy ko rzy sty wa ne przy usta la niu praw do stę pu do za da¬ 
nego pliku. Aby unie mo żli wić nie upraw nio nym użytków ni kom od czy ty wa nie lub mo¬ 
dy fi ko wa nie pli ków, ID użytków ni ka i gru py muszą być ta kie sa me na obu ho stach. 

W wię k szo ści im ple men ta cji unik so wych za rów no po stro nie klien ta, jak i ser we ra 
NFS działa w for mie de mo nów jądra uru cha mia nych z prze strze ni użyt kow ni ka 
w cza sie star tu sys te mu. Są to demonyNFS ( rpc.nfsd ) na ho ście ser we ra i demony bloko- 
wegowejścia/wyjścia (biod ) na ho ście klienta. Aby po pra wić prze pu sto wo ść,biod re ali- 
zuje asynchroniczne operacje wejścia/wyjścia za pomocą algorytmów odczytu 
z wy prze dze niem (ang. read-ahead ) i za pi sy wa nia z opóź nie niem (ang. write-behind). 
Po nad to kil ka de mo nów rpc.nfsd zwykledziałajednocześnie. 

Ak tu al na im ple men ta cja NFS-a dla Linuk sa róż ni się od kia sycz ne go NFS-a, w któ¬ 
rym kod ser we ra działa całko wi cie w prze strze ni użyt kow ni ka, a więc uru cho mie 
nie kilku kopii jednocześnie jest nieco bardziej skomplikowane. Aktualna im ple 
mentacja rpc.nfsd oferuje eksperymentalną funkcję pozwalającą na ograniczenie 
obsługi dla wielu serwerów. W jądrach serii 2.2 Olaf Kirch stworzył serwer NFS 
opar ty na jądrze. Je go wy daj ność jest znacz nie lep sza niż ist niejących im ple men ta cji 
opar tych na prze strze ni użyt kow ni ka. Opi sze my go w dal szej czę ści roz działu. 

Przygotowanie NFS-a 

Za nim bę dziesz mógł użyć NFS-a, czy to ser we ra, czy klien ta, mu sisz spraw dzić, czy 
twoje jądro jest skompilowane z je go obsługą. Nowsze jądra mają pro sty interfejs 
oparty na sys te mie pli ków/proc; plik /proc/filesystems, możesz wy świe tlić za po mocą cat: 

$ cat /proc/filesystems 

minix 

ext2 


W rze czy wi sto ści możesz po minąć ar gu ment -1 n f s, po nie waż z dwu krop ka mount wnio sku je, że 
cho dzi o wo lu men NFS. 




Mon to w a niewolumenuNFS 
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msdos 
nodev proc 
nodev nfs 

Je żeli na tej liś cie bra ku jen f s, mu sisz skom pi lo wać jądro z obsługą NFS-a lub załad o- 
wać mo duł, je żeli obsługa NFS-a zo stała skom pi lo wa na w po sta ci mo dułu. Kon fi gu- 
rowanie opcji jądra wyjaśnionowpodrozdziale Konfigurowanie jądra w rozdziale3, 
Konfigurowaniesprzętusieciowego. 

Montowanie wolumenu NFS 

Mon towaniewolumenów NFS przypominadozłudzeniamontowanienormalnych 
sys tern ówpli ków. Wy wołaj mount, uży wającna stę pującej skład ni: 

# mount -t nfs wolumen_nfs katalog_lokalny opcje 

wolumen_nfs jest określany następująco: zdalny_host: zdalny_katalog. Po- 
nieważ ten zapis jest uni kątowy dla sys tern ów pli ków NFS, możesz nie sto so wać 
opcji -f nfs. 

Istnieje szereg dodatkowych opcji, które możesz podać w poleceniu mount przy 
mon to wa niu wo lu me nu NFS. Mogą być one poda ne za rów no z przełączni kiem-o 
w wier szu po le ceń, jak i w po lu opcji wpi su/etc/fstab dla wo lu me nu. W obu przy pad- 
kach opcje są od dzie lo ne prze cin ka mi i nie mogą za wie rać białych zna ków. Opcje 
okre ślo ne w wier szu po le ceń zaw sze mają wy ż szy prio ry tet, niż te poda ne w pli ku 
fstab. 

Oto przykład owy wpis w pli ku /etc/fstab: 

# wolumen punkt montowania typ opcje 

news:/var/spool/news /var/spool/news nfs timeo=14,intr 

Z ko lei wo lum en może zo stać za mont owa ny po lec eni em: 

# mount news:/var/spool/news 

W przy padku bra ku wpi su w pli kufstab, wy wołanie mount wygląda du żo go rzej. Na 
przykład załóżmy, że mon tuj esz ka tal ogi ma cier zyste swo ich uży tkowników z kom- 
put era o na zwie moonshot, kt óry wy kor zyst uje do myś lny roz miar blo ku (4 KB) dla 
oper acji od czytu i za pisu. Za po mocą po niżs zego po lec enia możesz zwię ks zyć roz¬ 
miar blo ku do 8 KB, by uzys kać lepszą wy dajn ość: 

# mount moonshot:/home /home -o rsize=8192,wsize=8192 

Li sta wszyst kich do pusz czai nych opcji znaj du je się na stro nie podręcz ni ka elek tro- 
nicz ne go nfs(5). Po niż ej po ka za no skro coną li stę opcji, któ rych praw do po dob nie bę¬ 
dziesz naj czę ściej uży wać: 
rsize=n i wsize=n 

Określają rozmiar datagramu używanego przez klientów NFS, odpowiednio 
w żąda niach od czytu i za pisu. Do myś Ina war tość za leży od wer sji jądra, ale zwy¬ 
kle wy nosi 1024 baj ty. 



246 


Roz dział 14: Sie ci o wy sys tem plików 


timeo=n 

Wskazu je, ile cza su (w dzie siątych czę ściach se kun dy) klient NFS cze ka na żako ń- 
cze nie żąda nia. Do my śl na war tość wy no si 7 (0,7 se kun dy). To, co się dzie je po 
upłynię ciu tego cza su, za le ży od tego, czy uży wasz opcji hard czy soft. 
hard 

Jaw nie oznac za wo lum en jako za mont owa ny na stałe. Jest włączo na do myś lnie. 
Opcja po wod uje, że ser wer zgłasza na kon soli ko mun ikat, gdy nie uda się mu do¬ 
stać do wo lum enu po upłynięć iu długiego cza su oczek iwa nia, i wciąż próbu je się 
do nie go do stać. 

soft 

Ta opcja (w prze ciw ieńs twie do mon tow ania na stałe) po wod uje, że gdy upłynie 
długi czas oczek iwa nia, do pro cesu pró bującego wy kon ać oper ację na pli ku jest 
zgłaszanybłąd wejścia/wyjścia. 

intr 

Pozwala sygnałom przerywać wywołanie NFS. Przydatne do przerywania 
działania, je żeli ser wer nie od pow iada. 

Wszyst kie opcje, po zarsize i wsize, do tyczą za cho wa nia klien ta w sy tu acji, gdy ser¬ 
wer jest chwi lo wo nie do stęp ny. Działają ra zem w na stę pujący spo sób: gdy klient 
wy syła żąda nie do ser we ra NFS, ocze ku je, że ope ra cja zo sta nie za ko ńczo na po za da¬ 
nym okre sie cza su (okre ślo nym w opcji timeout). Je żeli przez ten czas nie uzy ska po- 
twierdze nia, na stępuje tak zwany krótkiczas oczekiwania (ang. minortimeout): ope ra¬ 
cja jest po wta rza na, ale te raz jej czas ocze ki wa nia jest dwu krot nie dłuż szy.Je śli war¬ 
tość cza su ocze ki wa nia doj dzie do 60 se kund, na stę pu je długiczas oczekiwa nia (ang. 
major timeout). 

Do my śl nie długi czas ocze ki wa nia po wo du je, że klient wy pi su je na kon so li ko mu ni- 
kat i rozpoczyna oczekiwanie od nowa, tym razem pierwszy czas ocze ki wania jest 
dwukrotnie dłuższy od poprzedniego. Potencjalnie ten czas będzie się wydłużać 
w nie sko ńczo ność. Wo lu me ny, w od nie sie niu do któ rych ope ra cje są upar cie wy ko- 
nywane powtórnie, są nazywane zamontowanymi na stałe (ang. hard-mounted). 
Wprzeciwieństwiedomch,wolumenyzamontowanenietrwale (ang. soft-mounted) ge¬ 
nerują błąd wejścia/wyjścia dla wywołującego procesu, gdy wystąpi długi czas 
oczekiwa nia. Po nie waż bu for pa mię ci podręcz nej jest za pi sy wa ny z opóź nie niem, 
wa ru nek błędu nie jest do star cza ny do sa me go pro ce su przed wy wołaniem na stęp 
nej funk cji write, a więc pro gram może w ogó le nig dy nie uzy skać pew no ści, że ope 
ra cja za pi su na wo lumenzamonto wa ny nie trwa lezą ko ńczyła się popraw nie. 

To, czy mon tu jesz wo lu me ny ja ko za mon to wa ne na stałe, czy ja ko nie trwałe za le ży 
w du żej mie rze od two ich upodo bań, ale ta kże od ty pu in for ma cji, któ re się na nich 
znaj dują. Na przykład, je żeli za mon tu jesz pro gra my X przez NFS, pew nie nie bę¬ 
dziesz chciał, by twoja X-se sja zo stała prze rwa na dla te go, że ktoś za trzy mał ruch 
w sie ci, bo uru cho mil właśnie sie dem ko pii Do oma lub wy ciągnął na chwi lę wtycz kę 
Ethernet. W przypadku wolumenu zamontowanego na stałe masz pewność, że 
komputer będzie czekał, aż zaistnieje możliwość ponownego skontaktowania się 
z ser we rem NFS. Z dru giej stro ny, mało po trzeb ne da ne, ta kie jak za mon to wa ne 
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przez NFS par ty cje z gru pa mi dys ku syj ny mi czy ar chi wa mi FTP, mo żna mon to wać 
w spo sób nie trwały, tak że gdy zdał ny host bę dzie tym cza so wo nie osiągał ny lub 
wyłączo ny, nie za wie si two jej se sji. Je żeli połączę nie sie cio we z ser we rem jest nie sta- 
bil ne lub prze cho dzi przez ob ciążony ru ter, możesz zwię k szyć wstęp ny czas ocze ki¬ 
wa nia za po mocą opcji timeolub za mon to wać wo lu men na stałe. Wo lu me ny NFS są 
do my śl nie mon to wa ne na stałe. 

Mon tow anie na stałe sta nowi pro blem, po niew aż do myś lnie oper acje na pli ku nie są 
prze ryw alne. Tak więc, je żeli pro ces na przykład próbuje za pis ać do zdał nego ser¬ 
wera, a ten jest nie osiągał ny, aplik acja użytk owni ka za wieś za się i użytk ownik nie 
może nic zrobić, by prze rwać oper ację. Je żeli użyj esz opcji intr w połączę niu z mon- 
tow ani em na stałe, wszel kie sy gnały odeb ranę przez pro ces prze ryw ają wy wołanie 
NFS, tak że użytk owni cy mogą wciąż prze rwać za wieś zonę do stępy do plików i pra- 
cow ać da lej (choć bez za pis ania pli ku). 

Zwykle de mon rpc.mountd w ja kiś spo sób pil nu je, które kata logi zostały za montowane 
i przez ja kie ho sty. In for ma cję tę mo żna wy świe tlić, uży wając pro gra mu showmount, 
któ ry jest ta kże dołączo ny do pa kie tu ser we ra NFS: 

# showmount -e moonshot 

Export list for localhost: 

/home <anon clnt> 

# showmount -d moonshot 

Directories on localhost: 

/home 

# showmount -a moonshot 

Ali mount points on localhost: 
localhost:/home 

Demony NFS 

Je żeli chcesz udo stęp nić usługę NFS in nym ho storn, mu sisz uru cho mić na swo im 
komputerze de mony rpc.nfsd i rpc.mountd .ja ko pro gra my opar te na RPC nie są one 
zarządza ne przez inetd, ale są uru cha mia ne w cza sie star tu sys te mu i re je strują się 
w portmapperze. Dlatego możesz je uruchamiać tylko, jeżeli masz pewność, że 
działa rpc.portmap. Zwy kle w jed nym ze swo ich skryp tów uru cha miających sieć po- 
wi nie neś mieć coś ta kie go: 

if [ -x /usr/sbin/rpc.mountd ]; then 

/usr/sbin/rpc.mountd; echo -n " mountd" 
fi 

if [ -x /usr/sbin/rpc.nfsd ]; then 

/usr/sbin/rpc.nfsd; echo -n " nfsd" 
fi 

Informacje o prawach własności plików udostępnianych klientom przez demona 
NFS zwy kle za wie rają nu me rycz ne war to ści ID użyt kow ni ka i gru py. Je żeli za rów¬ 
no klient, jak i ser wer ko jarzą te sa me na zwy użyt kow ni ka i gru py z ich war to ścia mi 
nu me rycz ny mi ID, mó wi się, że mają wspólną prze strzeń uid /gid. Na przykład jest 
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tak w sytuacji, gdy używasz NIS-a do rozpowszechniania informacji passwd do 
wszy st kich ho stów s wo jej sie ci lo kal nej. 

Jed nak w pew nych sy tu acjach ID na róż nych ho stach nie zga dzają się ze sobą. Za¬ 
miast uak tu al niać uid i gid klien ta, tak by pa so wały do uży wa nych przez ser wer, 
możesz użyć de mo na ma po wa nia rpc.ugidd, któ ry wy rów na roz bie żno ści w od wzo- 
ro waniach. Ko rzystajączopcjimap_daemon (wy ja śnio nej nie coda lej), możesz zmusić 
rpc.nfsd, by od wzo ro wał prze strzeń uid/gid ser we ra na prze strzeń uid/gid klien ta 
za po mocą rpc.ugidd po stro nie klienta. Nie ste ty de monrpc.ugidd nie zaw sze znaj du¬ 
je się w dys try bu cji Linuk sa, a więc je żeli go po trze bu jesz, a nie ma go w two jej dys- 
try bu cji,bę dziesz mu siał skom pi lo wać ko dy źródłowe. 

rpc.ugidd jest ser wer em opart ym na RPC, uruc hami anym ze star tow ych skry ptów 
sie ciowych,takjak rpc.nfsd i rpc.mountd. 

if [ -x /usr/sbin/rpc.ugidd ]; then 

/usr/sbin/rpc.ugidd; echo -n " ugidd" 
fi 


Plik exports 


T e raz zoba czy my, jak kon fi gu ru je się ser wer NFS. Zwłasz cza przyj rzy my się, jak na¬ 
leży poinformować serwer NFS, które systemy plików powinien udostępniać do 
montowania. Poznamy też różne parametry,które kon tro lują do stęp kl ientów do 
systemu plików. Ser wer okre śla typ do stę pu do je go pl ików. W pli ku /etc/exports 
znaj du je się li sta sy stemów pl ików, kt óre ser wer udo stęp nia klien tom do mon to wa- 
niaiużyt ku. 

Domyślnie rpc.mountd nie po zwa la na mon to wa nie wszyst kich katalo gów, co jest ra¬ 
czej rozsądnym podejściem. Jeśli chcesz pozwolić jednemu lub kilku hostom na 
mon to wa nie ka ta lo gu przez NFS, mu sisz wyekspor towaćhost, to zna czy wpi sać go do 
pliku exports. Przykład o wy plik może wyglądać tak: 


# plik exports dla hosta vlager 
/home vale(rw) vstout(rw) vlight(rw) 

/usr/XHR6 vale(ro) vstout (ro) vlight(ro) 

/usr/TeX vale(ro) vstout(ro) vlight(ro) 

/ vale(rw,no_root_squash) 

/home/ftp (ro) 


Ka żdy wiersz de fin iuje ka tal og i ho sty, kt óre mogą go mon tow ać. Na zwa ho sta jest 
zwykle podawana w postaci pełnej nazwy do men owej, ale może do datk owo za¬ 
wierać znaki uniwersalne * i ?, które działają w sposób analogiczny do powłoki 
Bourne'a. Na przykład do lab* . foo . compasujezar0wnolab01.foo.com, jak i la- 
boratory.foo.com . Host mo żna ta kże wska zać za po mocą za kresu ad resów IP w po¬ 
staci adres /maska_s leci. Je żeli na zwa ho sta nie zo stan ie poda na, tak jak w przy¬ 
padku ka tal ogu /home/ftp w po przedn im przykładzie, oznac za to, że pa suje ka żdy 
host i ka żdy ma pra wo mon tow ać ka tal og. 

Przy spraw dza niu klien ta w pli ku exports, rpc.mountd szu ka na zwy ho sta klien ta za 
po mocą wy wołania gethostbyaddr. Je żeli uży wa ny jest DNS, to wy wołanie zwra ca 
kanoniczną nazwę ho sta klien ta, a więc mu sisz pa mię tać, by nie uży wać alia sów 
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w pli ku exports. W śro do wi sku NIS zwra caną nazwą jest pierw sza pa sująca na zwa 
z ba zy da nych ho stów. Nig dy - ani w przy pad ku uży cia DN S-a, ani NI S-a - zwra ca- 
na nazwa nie jest pierwszą nazwą hosta, pasującą do ad re su klien ta i zna le zioną 
w pli ku hosts. 

Za nazwą ho sta na stę pu je opcjo nal na li sta zn aczników uję tych w na wia sy; po szc zególne 
elemen ty li sty są od dzie lo ne prze cin ka mi. Niek tóre war to ści tych znaczników to: 

secure 

Ten znacz nik po wod uje, że żąda nie musi po chód zić z za rez erwo wan ego por tu 
źródłowego, tzn. o war toś ci mniej szej niż 1024. Znacz nik ten jest ustaw iony do¬ 
myślnie. 

insecure 

Ten znacz nik działa od wrotn ie niż znacz nik secure. 
ro 

Ten znacz nik po wod uje, że wo lum en NFS jest mon tow any jako prze znać zony 
tył ko do od czytu. Znacz nik jest ustaw iony do myś lnie. 

rw 

Ta opcja mon tuje pli ki do od czytu i za pisu. 
root_scjuash 

Ta funk cja, związana z bez piec zeńs twem, od maw ia użytk owni kom uprzyw ile 
jow anym na za dan ych ho stach spe cjaln ych praw do stępu przez od wzór owa nie 
żądań z uid 0 po stro nie klien ta na uid 65534 (tzn. -2) po stro nie ser wera. Ta war¬ 
tość uid po winna być związana z użytk owni kiem nobody. 

no_root_squash 

Nie od wzo ro wu je żądań z uid 0. Ta opcja jest usta wio na do my śl nie, a więc użyt- 
kownicyuprzy wilejo wanimająnieograni czonydostępdo wy eks porto wanychka 
talogówsystemu. 
link_relative 

Ta opcja za mień iabez względne dowiąza nia sym boi iczne (gdzie dowiąza nia roz- 
poc zynają się od ukoś nika) na dowiąza nia względ ne. Ta opcja ma sens tyl ko wte 
dy, gdy zamontowany jest cały sys tern pli ków ho sta. W prze ciwn ym ra zie ni¬ 
ektóre dowiązania mogą wskazywać donikąd lub co gorsza, na pliki, których 
nig dy nie miały wska zyw ać. Ta opcja jest do myś lnie włączo na. 

link_absolute 

Ta opcja po zos ta wia dowiąza nia sym boi iczne bez zmian (nor malne za chow anie 
se rwer ów NFS fir my Sun). 

map_identity 

Ta opcja mówi ser wer owi, by zakładał, że klient używa tych sa mych war toś ci uid 
i gid co ser wer. Ta opcja jest ustaw iona do myś lnie. 
map_daemon 

Ta opcja mówi ser wer owi NFS, by zakładał, że klient i ser wer nie współdzielą tej 
sa mej prze strzeni uid /gid. Dla tego rpc.nfsd two rzy li stę, kt óra od wzór owu je ID 
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pomiędzy klien tem a serwerem, za dając za pytania de mon owi rpc.ugidd na ma¬ 
szynie klienta. 

map_static 

Ta opcja po zwa la na poda nie na zwy pli ku, któ ry za wie ra sta tycz ne od wzo ro wa- 
nie wartości uid i gid. Na przykład map_static=/etc/nf s/vlight. map 
wskazywałby plik /etc/nfs/vlight.map jako plik zawierający odwzorowania 
uid /gid. Skład nia pli ku od wzo ro wań jest opi sa na na stro nie podręcz ni ka elek tro- 
nicznego exports(5). 
maps_nis 

Ta opcja po wod uje, że ser wer NI S-a re aliz uje od wzór owa nia uid i gid. 
anonuid i anongid 

Te opcje po zwal ają na okres lenie uid i gid kont anon imo wych. Jest to przy datne, 
jeżelimaszpublicznie wy eksp orto wany wo lum en. 

Wszelkie błędy przy analizie składniowej pliku exports są zgłasza ne do funkcji 
daemon sysloga napoziomienotice,oilesąuruchomionedemonyrpc.n/sd i rpc. mo- 
untd. 

Za uważ, że na zwy ho stów są uzy ski wa ne na pod sta wie adr esów IP klien ta przez 
od wzo ro wa nie od wrót ne, a więc re solver mu sibyć od po wied nio skon fi gu ro wa ny. 
Je żeli uży wasz BIND i je steś świa do my prób le mów związa nych z bez pie cze ń st wem, 
po wi nie neś włączyć w swo im pli ku host.conf spraw dza nie pod szy wa nia się. Te te 
ma ty oma wia my w roz dzia le 6, Usługinazewniczeikonfigu rowa nieresohera. 

Serwer NFSv2 oparty na jądrze 

Tra dy cyj nie uży wa ny w Linuksie ser wer NFS działający w prze strze ni uży t kow ni ka 
jest niezawodny, ale sprawia problemy wydajnościowe, jeżeli jest przeciążony. 
Dzie je się tak głównie ze wzglę du na ob ciąże nie wno szo ne przez in ter fejs wy wołań 
sys te mo wych, ale też dla te go, że mu si on dzie lic czas z in ny mi, po ten cjal nie mniej 
istot ny mi pro ce sa mi działający mi w prze strze ni uży t kow ni ka. 

Jądro 2.2.0 obsługuje ekperymentalny serwer NFS oparty na jądrze, stworzony 
przez Olafa Kir cha i da lej roz wij any przez H.J. Lu, G. Al lana Mor risa i Tron da My- 
kleb usta. Ser wer NFS oparty na jądrze da je zde cyd owaną po prawę wy dajn ości. 

W obec nych dys try bu cjach możesz zna le żć na rzę dzia ser we ra w po sta ci pa kie tów. Je 
żeli ich tam nie ma, możesz je znależćpodadresen\http://csua.berkeley.edu/~gam3/knfsd/. 
Aby uży wać tych na rzę dzi, mu sisz skom pi lo wać jądro 2.2.0 z de mo nem NFS opar tym 
na jądrze. Możesz upew nić się, czy two je jądro ma wbu do wa ne go de mo na NFS, spraw¬ 
dzając, czy ist nie je plik /proc/sys/sunrpc/nfsd_debug. Je żeli go nie ma, możesz załad o wać 
moduł rpc.nfsd, uży wając na rzę dzia modprobe. 

Demon NFS oparty na jądrze wykorzystuje standardowy plik konfiguracyjny 
/etc/exports. Pa kiet za wie ra za stępcze wer sje de mo n ówrpc.mountd i rpc.nfsd, któ re uru- 
cha miasz pra wie tak sa mo, jak ich od po wied ni ki działające w prze strze ni użyt kow ni- 
ka. 
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Server NFSv3 oparty na jądrze 

Po wszech nie uży waną wer sją NFS-a jest wer sja 2. Jed nak tech ni ka szyb ko idzie na¬ 
przód i ujaw nia nie do sko nałości, któ re może po pra wić tyl ko in na wer sja pro to kołu. 
Wer sja 3 sie cio we go sy s te mu pli kó w obsługu je wię k sze pli ki i sys te my pli ków, g wa¬ 
ran tując znacz nie wię ksze bez pie cze ństwo i ofe rującsze regpo pra wek wy daj no ścio 
wych, któ re przy dadzą się wię k szo ści użyt kow ni ków. 

Olaf Kirch i Trond My kleb ust pra cują nad eks per yme ntal ny m ser wer em NFSv3. Jest 
on umieszc zany w jądrach se rii 2.3. Do stępne są łaty dla jądra se rii 2.2. Ko rzys ta on 
z de mo na NFS w wer sji 2, opart ego na jądrze. 

Łaty są do stęp ne na stronie ma cier zyst ej ser wera NFS opart ego na jądrze Linuk sa, 
znaj dującej się pod ad res emhttp://csua. berkeley.edu/~gam3/knfsd/ . 
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IPX i system 
plików NCP 



Na długo za nim f ir ma Micro so f t za jęła się sie cia mi i na wet za nim In ter net wy szedł po¬ 
za krę gi aka de mic kie, fir my współdzie liły pli ki i dru kar ki, uży wając ser werów pli¬ 
ków i dru ko wa nia opar tych na sys te mie ope ra cyj nym Novell Ne twa re i związanych 
z nim pro to kołach*. Wie lu z tych użytkowników nadal utrzy mu je sie ci wy ko rzy stujące 
te pro to koły i chciałoby in te gro wać je z now szy mi sie cia mi TCP/IP. 

Li nux obsługu je nie tył ko pro to koły TCP / IP, ale ta kże ze staw pro to koło w uży wa nych 
przezsys tern ope ra cyj ny Ne tWa re fir my Novell Cor po ra tion. Pro to koły te są da le ki- 
mi ku zy na mi TCP/IP i choć pełnią podobną ro lę, ró żnią się pod wie lo ma wzglę darni 
i nie ste ty nie są ze sobą kom pa ty bil ne. 

Li nux po siada za równo dar mowę, jak i ko merc yjne oprog ramo wan ie do in teg racji 
zproduktamiNovella. 

W tym rozdziale krótko opiszemy same protokoły, a skupimy się na konfiguro 
waniu i wy korzystaniudarmo we go oprog ramo wan ia, które po zwala Linuk so wi na 
współpra cę z pro dukt ami fir my Novell. 

Xerox, Newell i historia 

Przyj rżyj my się naj pierw, skąd po chodzą pro to koły i jak wyglądają. Pod ko nieć lat 
sie dem dzie siątych w fir mie Xe rox Cor po ra tion oprą co wa no, a na stęp nie opu bli ko¬ 
wano otwarty standard o nazwie Xerox NetworkSpecification (XNS). Standard ten 
opi sy wał szeregproto kolów obsługuj ących ogól nie po jętą ko mu ni ka cję sie ciową, ze 
szcze gól nym uwzględ nie niem sie ci lo kal nych. Były tam wy ko rzy sta ne d wa głów ne 
protokoły siecio we: interne to wy protokółda ta gramów (In ternetDatagramProtocol - 
IDP), za pe w niający bez połączę nio we i za wod ne prze sy łanie da ta gra mów mię dzy 
ho sta mi, oraz pro to kół ko mu ni ka cyj ny pa kie tó w da nych ( Sequen ced Packet Pro tocol- 
SPP) za adop to wa ny z IDP, ale połączę nio wy i nie za wod ny. Da ta gra my w sie ci XNS 
były adresowane indywidualnie. Schemat adresowania opierał się na połączeniu 
4-bajtowegoadresusie ci IDP (któ ry byłunikalnie przy pisany do każdegosegmen tu 


No vell i Ne tW aresąznakamito wa ro wy mifirmyNovellCorporation. 
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sie ci lo kal nej Et her net) i 6-ba jt ow ego ad re su węzła (ad re su kar ty sie cio wej). Ru tery 
były urządzę nia mi, któ re prze ka zy wały da ta gra my po mię dzy dwo ma lub kil ko ma 
oddzielnymi sie cia mi IDP. IDP nie obsługu je pod sie ci. Ka żdy no wy zbiór ho stów 
wy ma ga in ne go ad re su sie ci. Ad re sy sie ci są dobie ra ne tak, aby były uni kal ne w ob¬ 
rębie intersieci. Czasem administra to rzy tworzą konwencje, przy pisującety pyinfor- 
ma cji (np. re jon geo gra ficz ny) do po szcze gól nych baj tów ad re su, a więc ad re sy sie ci 
są przy dzie la ne w sys te ma tycz ny spo sób. Nie jest to jed nak wy ma ga nie pro to kołu. 
Fir ma Novell zde cy do wała się oprzeć swoją sieć na pa kie cie XNS. Stwo rzyła kil ka 
roz sze rżeń dla IDP i SPP, które otrzy mały na zwy: IPX ( In ter net Pocket eXchange) i SPX 
(Secjuen ced Pocket eXchange). Do dała też no we pro to koły, ta kie jak NCP ( NetWareCore 
Protocof), po zwa łający na współdzie le nie plik ów i dru ka rek w sie ci IPX, czy SAP ( Sermce 
Aduertisement Protocol) dający ho storn w sie ci Novell wie dzę o usługach ofe ro wa- 
nych przez poszczególne ho sty. 

Tabela 15-1 pokazuje powiązanie pomiędzy zestawami protokołów XNS, Novell 
i TCP/IP pod względem funkcjonalności. Powiązania są jedynie przybliżone, ale 
po winny po móc zro zum ieć, o co cho dzi, gdy będzie my się da lej od woły wać do tych 
protokołów. 

Ta be la 15-1. Powiążą nia mię dzy pro to kołami XNS, Novell i TCP/IP 


XNS 

Novell 

TCP/IP 

Funkcje 

IDP 

IPX 

UDP/IP 

Bez połączę nio we i za wod ne prze sy łanie da nych. 

SPP 

SPX 

TCP 

Połączę nio we i nie za wod ne prze syłanie da nych. 


NCP 

NFS 

Usługiplikowe. 


RIP 

RIP 

Wymianainformacjiorutingu. 


SAP 


Wymianainformacjiodostępnościusługi. 


IPX i Linux 

Alan Cox ja ko pierw szy oprą co wał obsługę pro to kołu IPX w jądrze Linuk sa w 1995 
ro ku*. Na początku przy da wało się to w za sa dzie tył ko do ru to wa nia da ta gra mów 
IPX. Od te go cza su in ni lu dzie, głów nie Greg Pa ge, roz bu do wa li tę usługę**. Greg 
stwo rzył na rzę dzia do kon fi gu ra cji IPX-a, któ re wy ko rzy sta my w tym roz dzia le do 
kon f i gu ro wa nia na szy ch in ter f ej sów. Vol ker Len dec ke oprą co wał obsługę sys te mu 
pli ków NCP, co urno żli wiło mon to wa nie w Linuksie wo lu me nów z podłączo nych 
dosie ciserwerówplikówNetWa re***. Stwo rzył również narzędzia, które po zwa łają 
dru ko wać do i z Linuk sa. Aleś Dry ak i Mar tin Stover nie za le żnie oprą co wa li de mo¬ 
ny ser we ra pli ków NCP dla Linuk sa, któ re po zwa lały klien tom sie ciNe tWa re mon- 
to wać ka ta lo gi linuk so we wy eks por to wa ne ja ko wo lu me ny NCP, po dob nie jak de 
mon NFS po zwa la Linuk so wi na udo stęp nia nie klien tom sys te mów pli ków przez 


* Z Ala nem mo żna się skon tak to wać pod ad re sem alan@lxorguk. ukuu.org.uk 

** Z Gre giem możesz się skon tak to wać pod ad re sem gpage@souereign.org. 

*** Z Vol ke rem mo żna się skon tak to wać pod ad re sem lei idecke@namu01 .gwdg.de. 
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pro to kół NFS*. Fir ma Cal de ra Sys tems Inc. ofe ru je ko mer cyj ne go i w pełni li cen cjo- 
nowanegoklientaiserwerNetWareobsługujące najnowsze stan dardy fir my Novell, 
włącznie z obsługą usług katalogowych NetWare (NetWare Directory Seruices - 
NDS). 

Obecn ie Li nux obsługuje sze roki za kres usług, kt óre umożliwiają in te gro wa nie sy- 
ste mów z ist niejący mi sie ciami opart ymi na Novel lu. 

WsparcieCaldery 

Choć w tym roz dzia le nie oma wia my szc zegółowo wspar cia Cal de ry dla Ne tWa re, 
wa żniej sze jest to, że w ogóle o tym mówimy. Fir ma Cal de ra zo stała założona przez 
Raya Noorda, który wcze śniej był dy rek to rem na czelnym fir my Novell. Obsługa 
NetWare przez Calderę jest produktem komercyjnym i w pełni serwisowanym 
przez fir mę Cal de ra. Jest to czę ść ich fir mo wej dys trybu cji Linuk sa o na zwie Cal de ra 
Open Li nux. Roz wiąza nia Cal de ry są ide al nym spo so bem na wpro wa dze nie Linuk- 
sa do śro do wisk, któ re wy ma gają za ró wno wspar cia ko mer cyj ne go, jak i mo żli wo ści 
in te gra cjiz istniejący mi lub nowy mi sie cia miNovell. 

Wspar cie Cal de ry dla Ne tWa re jest w pełni li cen cjo no wa ne przez fir mę Novell, co 
daje dużą pewność, że produkty obu firm będą ze sobą współpracowały. Dwa 
wyjątki od tej re guły to: tryb „pu re IP" dla klien ta oraz ser wer NDS (żad na z tych 
opcji nie była do stęp na w cza sie pi sa nia tej książki). Do stęp ne są na to miast za rów no 
klient, jak i ser wer Ne tWa re. Ist nie je ta kże ze staw na rzę dzi, ułatwiających zarządza¬ 
nie nie tyl ko ser we ra mi Ne tWa re opar ty mi na Linuksie, ale ta kże rze czy wi sty mi ser 
we ra mi Novell Ne twa re, a to dzię ki du żym mo żli wo ściom ję zy ków skryp to wych 
Unik sa. Wię cej in for ma cji na te mat Cal de ry mo żna zna le źć na ich wi try nie in ter ne to 
wej**. 

Wię cej na te mat wspar cia ND S-u 

W 4. wersji systemu Ne tWa re fir ma Novell wpro wadziła nową funkcję o na zwie 
usługi ka ta lo go we Ne tWa re (NDS). Spe cy fi ka cja ND S-u nie jest do stęp na bez spe¬ 
cjał nej urno wy, co ogra ni cza roz wój darmo wej obsługi te go sys te mu. Je dy nie pa kiet 
ncpfs od wer sji 2.2.0, któ ry omó wi my póź niej, obsługu je NDS. Zo stał on oprą co wa ny 
na za sa dzie od wrót nej ana li zy (ang .reuerseengineering) pro to kołu NDS. Wspar cie to 
wy da je się działać, ale wciąż jest ofi cjal nie uzna wa ne za eks pe ry men tal ne. Z ser we 
rami NetWare 4 możesz uży wać na rzę dzi nie-NDS-o wych, pracujących w „trybie 
emu la cjibin de ry". 

Opro gra mo wa nie Cal de ry w pełni obsługu je NDS, po nie waż ich im ple men ta cja ma 
li cen cję fir my Novell. Ta im ple men ta cja nie jest jed nak bezpłat na. A więc nie masz 
do stę pu do ko du źródłowe go i nie bę dziesz w sta nie do wol nie ko pio wać i dys try bu- 
ować te go opro gra mo wa nia. 


* Z Alesem można się skontaktować pod adresem A.Dryak@sh.cvut.cz, a z Martinem pod adresem 
mstover@freeway.de. 

** InformaqenatematfirmyCalderamożnaznaleźćpodadresem//ffp.'//iuaiai.crtWera.co7«/. 
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Konfigurowaniejądra do obsługi IPX-a i NCPFS 

Kon fi gu ro wa nie jądra do obsługi pro to kołu IPX i sys te mu pli ków NCP jest pro ste. 
Po le ga na wy bra niu od po wied nich opcji jądra w cza sie je go kom pi la cji. Tak jak dzie 
je się z wieloma in ny mi skład ni kami jądra, elementy IPX i NCPFS mogą być albo 
wbu do wa ne w jądro, al bo skom pi lo wa ne w po sta ci mo dułów i ład o wa ne w ra zie 
po trze by po le ce niem insm od. 

Na leży wy brać po niżs ze opcje, je żeli chce się mieć w Linuksie obsługę pro tokołu IPX 
irutingu: 

General setup -> 

[*] Networking support 

Networking options -> 

<*> The IPX protocol 

Network device support -> 

[*] Ethernet (10 or 100Mbit) 

. .. and appropriate Ethernet device drivers 

GdybyD chciaD, Dęby Linux obsDugiwaD system plików NCP, tak by moDna byDo 
montowaD zdalne wolumeny NetWare, musiaDbyD dodatkowo wybraD te opcje: 

Filesystems -> 

[*] /proc filesystem support 

<*> NCP filesystem support (to mount NetWare volumes) 

Gdy skom pil uje sz i za ins talu jesz no we jądro, je steś go tów do pra cy z IPX-em. 

Konfigurowanieinterfejsów IPX 

Tak jak w TCP / IP, mu sisz skon fi gu ro wać swo je in ter fej sy IPX, za nim bę dziesz mógł 
ich uży wać. Pro to kół IPX ma kil ka wyjątkowych wy ma gań. Z te go po wo du zo stał 
stwo rzo ny ze staw na rzę dzi kon fi gu ra cyj nych. Będzie my ich uży wa lido kon fi gu ro- 
wa nia na szych in terfejsów IPX i ru tin gu. 

Urządzenia sie cioweobsługującelPX 

Pro tokół IPX zakłada, że ho sty, kt óre mogą wy mie niać da ta gra my bez ru to wa nia, 
na leżą do tej sa mej sie ci IPX. Wszyst kie ho sty na leżące do jed ne go seg men tu Et her- 
net należą do tej samej sieci IPX. Podobnie (ale mniej intuicyjnie), oba hosty 
obsługujące łącze sze re go we opar te na PPP muszą na le żeć do sie ci IPX, która sa ma 
jest łączem sze re go wym. W śro do wi sku Et her net ist nie je sze reg róż nych typ ów ra¬ 
mek, kt óre mogą być uży wa ne do prze no sze nia data gr amów IPX. Ty py ra mek re 
prezentują różne protokoły Ethernet i opisują różne sposoby przenoszenia wielu 
protokołówwtejsamejsieciEthernet.Najczęściejbędzieszsięspotykałzramkami 8 02.2 
i ethe r ne t_I I. Wię cej o ty pach ra mek po wie my w na stęp nym pod roz dzia le. 
Urządzenia sieciowe Linuksa, które obsługują obecnie protokół IPX, to Ethernet 
i PPP. In terf ejsy Et hern et i PPP muszą być ak tywne, za nim nastąpi ich kon fig ura cja 
do pra cy z pro tokolem IPX. Zwy kle kar tę Et hern et kon fig uru jesz z obsługą zarówno 
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IP, jak i IPX-a, a więc urządzę nie już ist nieje. Ale je żeli chcesz ko rzys tac tyl ko z sie ci 
IPX, mu sisz zmie nić sta tus urządzę nia Et hern et, używ ając po lec enia ifconfig w na¬ 
stęp ujący sposób: 

# ifconfig ethO up 

Narzędziadokonfigu racjiinterfejsu IPX 

Greg Pa ge oprą co wał ze staw na rzę dzi kon fi gu ra cyj nych dla interfejsów IPX. Są one 
roz po wszech nianewpostacipakietówwnowoczesnychdystrybucjachLinuksa, ale 
można je także uzyskać w postaci źródłowej z anonimowego ośrodka FTP znaj¬ 
dującego się pod adresem http://metalab.unc.edu w pliku /pub/Linux/system/filesys- 
tems/n cpfs/ipx. tgz. 

Na rzęd zia IPX są zwy kle uruc hami ane w cza sie star tu sys temu z pli ku rc. Twoja 
dys tryb ucja może to już ro bić, je żeli za ins talo wałeś oprog ramo wan ie w po staci pa¬ 
kietów. 

Polecenieipx_configure 

Ka żdy in ter fejs IPX mu si wie dzieć, do której sie ci IPX na le ży i ja kie go ty pu ram ki ma 
uży wać dla pro to kołu IPX. Ka żdy host obsługujący IPX ma przy najm niej je den in- 
ter fejs, kt óre go resz ta sie ci bę dzie uży wała do ko mu ni ka cji z nim. Jest to tak zwa ny 
interfejs podstawowy (ang. primary interface). Obsługa IPX-a w jądrze Linuk sapo zwa la 
na au to ma ty cz ne kon f i gu ro wa nie tych parametrów. Po le ce nie ipx_configure włącza 
lub wyłącza tę funk cję au to ma tycz nej kon fi gu ra cji. 

Po lec enie ipx_configure wy wołane bez argumentów wy świet la ak tua lne ustaw ienia 
znacz ników au tom aty cznej kon fig ura cji: 

# ipx_configure 

Auto Primary Select is OFF 
Auto Interface Create is OFF 

Oba znacz ni ki (Au to Primary i Auto Interf ace)domyślniesą wyłączone. Aby 
je usta wić i włączyć au to ma tyczną kon fi gu ra cję, po pro stu po da jesz w wy wołaniu 
następująceargumenty: 

# ipx_configure --auto_interface=on --auto_primary=on 

Gdyargument --auto_primary ma war tość on, jądro automatycznie zapewnia, 
że przy najmniej jeden aktywny in terfejsdziała ja ko interfejs pod staw owy dlahosta. 

Gdy argument --auto interface ma wartość on, sterownik IPX jądra będzie 
nasłuchiwał wszystkich ramek odebranych na aktywnym interfejsie sieciowym, 
i bę dzie pr óbował ustal ić ad res sie ci IPX oraz uży w any typ ram ki. 

Mechanizm automatycznego wykrywania działa bez zarzutu w poprawnie 
zarządza nych sie ciach. Cza sem ad mi ni stra to rzy sie ci idą na skróty i łamią re guły, co 
może spo wo do wać pro ble my w ko dzie au to ma tycz ne go wy kry wa nia w Linuksie. 
Naj czę ściej do cho dzi do nich, gdy jed na sieć IPX jest skon fi gu ro wa na do pra cy w tej 
sa mej sie ci Et her net z wie lo ma ty pa mi ra mek. Jest to kon fi gu ra cja nie pra widłowa 
tech nicz nie, gdyż host802.2 nie może bez po śred nio ko mu ni ko wać się z ho stem Et- 
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her ne t-II i dla te go nie mogą one być w tej sa mej sie ci IPX. Opro gra mowa nie sie cio we 
IPX Linuk sa nasłuchu je na seg men cie wysłanych w nim datagramów IPX. Na ich 
pod sta wie pró buje zi den ty fi ko wać uży wa ne ad re sy sie ci i z wiąza ne z ni mi ty py ra¬ 
mek. Je żeli ten sam ad res sie ci jest uży wa ny z wie lo ma ty pa mi ra mek lub na wie lu 
in ter fej sach, kod Linuk sa wy kry wa ko li zję ad re sów sie ci i nie jest w sta nie usta lić po¬ 
praw ne go ty pu ram ki. Do wiesz się, że tak się stało, je żeli w lo gu sys te mo wym zo ba¬ 
czysz na stę pujące komu nika ty: 

IPX: NetWork number collision 0x3901ab00 
ethO etherll and ethO 802.3 

Je żeli na pot kasz ta ki pro blem, wyłącz funk cję au tom aty cznego wy kry w ania i skon- 
fig uruj in terf ejs ręcz nie, używ ając po lec enia ipx_in ter face, kt óre opis uje my po niżej. 

Polecenieipx_interface 

Polecenie ipx_interface jest uży wa ne do ręcz ne go do da wa nia, mo dy fi ka cji i usu wa- 
nia pro to kołu IPX z ist niejące go urządzę nia sie cio we go. Je żeli nie za działa właśnie 
opi sa na me to da au to ma tycz ne go wy kry wa nia kon fi gu ra cji lub je żeli nie chcesz po¬ 
zostawiać konfiguracji interfejsu przypadkowi, powinieneś uży ćipx_interface. Po¬ 
zwala ci ono na podanie adresu sieci IPX, statusu interfejsupostawowego i typu 
ram ki IPX, która bę dzie uży wa na przez urządzę nie sie cio we. Je żeli two rzysz wie le 
int erfejsów IPX, dla ka ż de go z nich mu sisz wy ko nać po le ce nie ipx_interface. 

Skład nia te go po lec enia przy do daw aniu IPX do ist niejące go urządzę nia jest pro sta 
i naj le piej wy jaś ni ją przykład. Do dajmy IPX do ist niejące go urządzę nia Et hern et: 

# ipx_interface add -p ethO etherll 0x32al0103 
Oto zna cze nie par ame trów: 

-P 

Ten pa ram etr okreś la, że ten in terf ejs po win ienbyć in terf ejsem pod staw owym. 
Jest on opcjo nalny. 
ethO 

Jest to na zwa urządzę nia sie ciow ego, do któ rego do daj emy obsługę IPX. 
etherll 

Ten parametr to typ ramki Ethernet II. Może tu wystąpić również wartość: 

802.2, 802.3 lub SNAP. 

0x32al0103 

To jest ad res sie ci IPX, do któ rej na leży in terf ejs. 

Po niżs ze po lec enie usuwa obsługę IPX z in terf ejsu: 

# ipx_interface del ethO etherll 

Aby wyświetlić aktualną konfigurację protokołu IPX na urządzeniu sieciowym, 
użyj: 

# ipx_interface check ethO etherll 
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Po lecenie ipx_iii ter face jest wy jaś nione dokład niej na stro nie podręcz nika elekt roni- 
cznego. 

Konfigurowanie rutera IPX 

Przy po mnij so bie z na sze go krót kie go omó wie nie na te mat pro to koło w uży wa nych 
w śro do wi sku IPX, że IPX jest pro to kołem ru to wal nym i że do rozgłasza nia in for ma- 
cji o ru tin gu jest uży wa ny pro to kół RIP ( Routinglnforma tionProtocol). IPX-o wa wer¬ 
sja RI P-a jest po dob na do wer sji IP. Działają dokład nie w ten sam spo sób. Co ja kiś 
czas ru te ry rozgłaszają za war tość swo ich ta blic ru tin gu, a in ne ru te ry „uczą się" jej 
przez nasłuchiwanie i integrują otrzymane informacje. Hosty muszą tylko znać 
swoją sieć lo kalną i wy syłać da ta gra my do wszyst kich in nych sie ci przez swój lo kal- 
ny ru ter. Ru ter jest od po wie dział ny za prze no sze nie tych da ta gra mów i prze ka ży¬ 
wa nie ich do na stęp ne go ho pa na tra sie. 

W śród owi sku IPX w sie ci mu si być rozgłaszana dru ga kła sa in form acji. Pr otokół 
ogłaszający usługi (Sernice AduertisementProtocol - SAP) prze nosi in form acje o ro¬ 
dzajach usług udostępnianych na poszczególnych hostach w sieci. To właśnie 
protokół SAP pozwala użytkownikom na przykład na uzyskanie listy plików lub 
serwerów dru kow ania ist niejących w sie ci. Pro tokół SAP działa dzię ki ho storn, kt óre 
co ja kiś czas rozgłaszają li stę udos tępni anych usług. Ru tery sie ciowe IPX zbie rają te 
in form acje i pro pag ują je w sie ci wraz z in form acją o ru tingu. Aby ru ter mógł zo stać 
uznany za zgod ny z pro tokołem IPX, mu si ogłaszać żarów no in form acje z RI P-a, jak 
i z SA P-a. 

Tak jak IP, ta kże IPX na Linuksie ma de mo na ru tin gu o na zwie ipxd, który realizuje 
za da nia związa ne z zarządza niem ru tin giem. I znów ana lo giez nie do IP, w rze czy- 
wi sto ści to jądro obsługu je prze ka zy wa nie da ta gra mów po mię dzy in ter fej sa mi sie 
cio wy mi IPX, ale w opar ciu o ze staw re guł na zy wa ny ta blicą ru tin gu IPX. De mon 
ipxd pil nu je aktu al no ści te go ze sta wu re guł. Nasłuchuje ka ż de go z aktyw nych in ter 
fej sów sie cio wych i ana li żuje in for ma cje, że by wie dzieć, kie dy jest wy ma ga na zmia¬ 
na w rutingu. De mon ipxd od po wia da rów nież na żąda nia ho stów podłączo nych 
bez po śred nio do sie ci, któ re po trze bują in for ma cji o ru tin gu. 

Polecenie ipxd jest dostępne w postaci pakietu w niektórych dystrybucjach oraz 
w po sta ci źródłowej w ano ni mo wym ośrod ku FTP pod ad re sem http://metalab.unc.edu/ 
w pli ku /pub/Linux/system/filesystems/ncpfs/ipxripd-x.xx.tgz. 

De mon ipxd nie wy ma ga kon f i gu ra cji. Wy star czy go uru cho mić, aby au to ma tycz nie 
re ali zo wał ru ting po mię dzy skon fi gu ro wa ny mi urządzę nia mi IPX. Przed uru Cho¬ 
mie niem ipxd trze ba ko niecz nie upew nić się, że urządzę nia IPX są skon fi gu ro wa ne 
po praw nie po le ce niem ipx_interface. Au to ma tycz ne wy kry wa nie może działać, ale 
gdy wy ko nu jesz ru ting, le piej nie po le gać na przy pad ku i ręcz nie skon fi gu ro wać in 
ter fej sy, co za osz czę dzi ci bo le sne go roz wiązy wa nia trud nych pro ble mów z ru tin 
giem. Co 30 se kund ipxd ponownie wykrywa wszystkie lokalnie podłączone sie ci 
IPX i au to ma tycz nie ni mi zarządza. Po zwa la to na zarządza nie sie cia mi zbu do wa- 
ny mi na in ter fej sach, któ re nie utrzy mują ak ty w no ści przez cały czas, jak in ter fej sy 
PPP. 
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De mon ipxd zwy kle jest uru cha mia ny w cza sie star tu sys te mu ze skryp tu rc w na stę¬ 
pujący sposób: 

# /usr/sbin/ipxd 

Nie jest potrzebny znak &, ponieważ ipxd sam do myś lnie przej dzie do try bu tła. 
Choć de mon ipxd naj bard ziej przy daje się na kom put era ch działających ja ko ru tery 
IPX, by wa też użyt eczny na ho stach podłączo nych do segmentów, w których znaj¬ 
duje się wiele ruterów. Jeśli podasz parametr -p, ipxd będzie działał biernie, 
nasłuchując in form acji o ru tingu przy chodzących z seg mentu i uakt ual niając ta blice 
ru tingu, ale nie bę dzie roz syłał żadn ych in form acji. W ten sposób host może uak tu- 
alniać ta blice ru tin gu i nie żądać za ka żdym ra zem in for ma cji o trasie, gdy chce się 
połączyć z ho stem zdał nym. 

Sta tycz ny ru ting IPX za po mocą po le ce nia ipx_ro ute 

Ist nieją sy tu acje, kie dy trze ba usta wić ru ting IPX „na szty w no". Ro bi my to po dob nie 
jak dla IP. Polecenie ipx_route zapisujetrasę do tablicy rutingu IPX bez potrzeby 
uczę nia się jej od de mo na ipxd. Skład nia ru tin gu jest bar dzo pro sta (po nie waż IPX 
nie obslugu je pod sie ci) i wygląda tak: 

# ipx_route add 203a41bc 31al0103 00002a02bl02 

Po kaz ane po lec enie do daje tra sę do zdał nej sie ciIPX203a41bc przez ru ter na szej sie 
ci lo kaln ej 31al0103 o ad res ie węzła 00002a02bl02. 

Ad res węzła ru tera możesz zna leźć, ro biąc praw dziwy użyt ek z po lec enia tcpdump 
z ar gu men tem - e, które wy ś wiet la nagłów ki po ziomu łącza i wska że ruch z ru tera. 
Je żeli ru ter em jest kom put er linuk sowy, możesz po pro stu użyć po lec eniaifconfig, by 
wy ś wietlićad res. 

Za po mocą po lec enia ipx_route możesz też usunąć tra sę: 

# ipx_route del 203a41bc 

Tra sy ak tywne w jądrze możesz wy świet lić, za glądając do pli ku /proc/net/ipx_route. 
Na sza do tychc zaso wa ta blica ru tingu wygląda tak: 

# cat ipx_route 

NetWork Router_Net Router_Node 

203A41BC 31A10103 00002a02bl02 

31A10103 Directly Connected 

Trasa do sie ci31A10103zostałastworzonaautomatycznieprzykonfiguracjiinterfejsu 
IPX. Ka żda z na szych sie ci lo kal nych bę dzie re pre zen to wa na przez po dob ny wpis 
w pli ku /proc/net/ipx_route. Oczy wiś cie je żeli na sza ma szy na działa ja ko ru ter, mu si 
mieć jesz cze przy najm niej je den in ter fejs. 

We w nętrz ne sieci IPXi ru ting 

Hosty IPX o więcej niż jednym interfejsie mają unikalne połączenie adresów sie¬ 
ci/ węzła dla ka ż de go ze swo ich in ter fej sów. Aby podłączyć się do ta kie go ho sta, 
możesz użyć dowolnej kom bi na cji ad re sów sie ci/węzła. Gdy SAP ogłasza usługi, 
po da je ad res sie ci/węzła związa ny z ofe ro waną usługą. Na ho ście o wie lu in ter fej- 
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sach ozna cza to, że je den z in ter fej sów mu si być wy bra ny ja ko ten, któ ry rozgłasza. 
Do te go służy znacz nik in ter fej su pod sta wo we go, o któ rym mó wi liś my wcze śniej. 
Jest jed nak pe wien problem: tra sa do te go in ter fej su nie zaw sze może być trasą opty¬ 
malną, a je żeli wystąpi awa ria sie ci, któ ra od izo lu je tę sieć od resz ty sie ci, host sta nie 
się nie osiągał ny, na wet je żeli ist nieją in n emożliwe tra sy do in nych in ter fej sów. In ne 
tra sy nig dy nie są zna ne in nym ho storn, po nie waż nig dy nie są rozgłasza ne i jądro 
nie ma mo żli wo ści do wie dzieć się, że po win no wy brać in ny in ter fejs pod sta wo wy. 
Aby uniknąć tego problemu, został wymyślony mechanizm, który pozwala, aby 
host IPX był zna ny pod jed nym, nie za le żnym od tra sy ad re sem sie ci / węzła wy ko¬ 
rzy sty wa nym do ce łów rozgłasza nia pa kie tów SAP. To roz wiązu je nasz pro blem, 
gdyż ten no wy ad res jest do stęp ny wszyst kim in ter fej som ho sta i jest je dy nym ad¬ 
res em rozgłasza nym przez SAP. 

Aby zilustrować pro blem i je go roz wiąza nie, ry sun ek 15 -1 po kaz uje ser wer pod- 
łączo ny do dwóch sie ci IPX, z których jed na ma sieć we wn ętrzną. Host na ry sunku 
15-1 definiuje jeden ze swoich interfejsów jako interfejs podstawowy, załóżmy 
0000001a:0800000010aa. To on zo stan ie ogłoszony ja ko punkt do stępu do usługi. Jest 
to prawidłowe rozwiązanie dla hostów w sieci OOOOOOla. Natomiast oznacza, że 
użytkownicy sieci 0000002c będą kie row ani przez sieć, aby do trzeć do te go por tu, 
na wet je żeli port jest bez poś rednio podłączo ny do sie ci, gdyż i tak widzą ten ser wer 
na pod staw ie te go, co do stali przez protokół SAP. 

Jeśli ta kie ho sty będą miały wir tu alną sieć o wir tu al nych ad re sach ho sta kon stru- 
owa nych w pełni pro gra mo wo, pro blem znik nie. Sieć wir tu alną jest naj le piej wy- 
obrazićsobiejakoistniejącąieeuuz(?frzhostaIPX.InformacjeSAPwystarczy wów czas 
rozgłaszać je dy nie dla ad re su sie ci / węzła tej sie ci wir tu al nej. Ta sieć wir tu al na jest 
nazywanasieciązuewnętrzną. Skąd jed nak in ne ho sty wiedzą, jak do trzeć do tej sie ci 
wewnętrznej? Hosty zdalne trafiają do sieci wewnętrznej przez sieci, do których 
host jest podłączony bezpośrednio. Oznacza to, że widzisz wpisy rutingowe od¬ 
noszące się do sie ci we w nętrz nej ho stów obsługujących wie lo krot ne in ter fej sy IPX. 
Te tra sy po win ny być opty mai ny mi tra sa mi do stęp ny mi w da nej ch wi li i je żeli ja kaś 
z nich prze stałaby działać, ru ting au to ma tycz nie zo stałby po pro wa dzo ny do na stęp 
nego najlepszego interfejsu i trasy. Na rysunku 15-1 skonfigurowaliśmy wew¬ 
nętrzną sieć IPXo ad re sie 0xl0000010iużyliś my ad resu hosta00:00:00:00:00:01. Jest 
toadresnaszegointerfejsupodsta wo we go i bę dzie rozgłasza ny przez SAP. Nasz ru- 
ting bę dzie od z wier cie dlał tę sieć ja ko osiągalną przez któryś z na szych rzeczywi¬ 
stych portów sieciowych, a więc ho sty będą zaw sze uży wały naj lep szej tra sy do 
łącze nia się z na szym ser we rem. 

Aby utwo rzyć taką sieć we w nętrzną, użyj po le ce nia ipx_internal_netzna) dującego 
się w pa kie cie na rzę dzi IPX Gre ga Pag e'a. Na przykład tak: 

# ipx_internal_net add 10000010 000000000001 

To polecenie tworzy sieć wewnętrzną IPX o adresie 10000010 i adresie węzła 
000000000001. Ad res sie ci, tak jak ka żdy in ny ad res sie ci IPX, mu si być uni kał ny 
w ob rę bie sie ci. Ad res węzła jest zu pełnie do wol ny, gdyż zwy kle w sie ci jest tyl ko je 
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den wę zeł. Ka żdy host może mieć tyl ko jedną sieć we w nętrzną IPX i je żeli jest ona 
skon f i gu ro wa na,zawszebędziesieciąpodsta wową. 


Serwer plików podłączony do dwóch sieci IPX bez sieci wewnętrznej 



0x0000001 a 0x0000002c 


Serwer plików podłączony do dwóch sieci IPX z siecią wewnętrzną 


08:00:00:00:10:aa 


08:00:00:00:10:bd 


00 : 00 : 00 : 00 : 00:01 

0x10000010 


0x000000la 0x0000002c 


Rysu nek15-1.WewnętrznasiećlPX 


Aby usunąć sieć we wn ętrzną IPX, użyj: 

# ipx_internal_net del 

We wn ętrzna sieć IPX ab sol utnie nie jest po trzebna, je żeli tw ój host nie udos tępnia 
żadn ych usług i ma tyl ko je den ak ty wny in terf ejs IPX. 
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Montowanie zdalnych wolumenów NetWare 

IPX jest po wszech nie uży wa ny do mon to wa nia wol um en ówNe tWa re w sys te mie 
pli ków Linuk sa. Po zwa la to na opar te na pli kach współdzie le nie da nych po mię dzy 
innymi systemami operacyjnymii Linuksem. Vol ker Len decke oprą co wał klienta 
NCP dla Linuk sa i pa kiet na rzę dzi, kt óre urno żli wiają współdzie le nie da nych. 

W śro do wi sku NFS do mon to wa nia zdał ne go sys te mu pli ków użylibyśmypolece nia 
mount. Nie ste ty sys tern pli kówNCP ma szcze gól ne wy ma ga nia, któ re po wo dują, że 
je go wbu do wa nie w nor mai ne po le ce nie mount jest nie re al ne. Li nux po sia da po le ce 
nie ncpmount, któregoużyjemyzamiastmoMnf.PolecenieHcpmoMnf jest jed nymz na- 
rzę dzi z pa kie tu ncpfsYol ke ra, do stęp ne go w wię k szo ści naj now szych dys trybu cji 
lub w po sta ci źródłowej pod ad re semftp.gwdg.de w ka ta lo gu /pub/linux/misc/ncpfs/. 
W cza sie pi sa nia tej książki obo wiązy wała wer sja 2.2.0. 

Za nim bę dziesz mon tow ać wo lum eny Ne tWare, mu sisz mieć po prawn ie skon fig¬ 
urowany in terf ejs sie ciowy IPX (zgod nie z tym, co opis ano wcze śniej). Na stępn ie 
mu sisz znać szc zegóły lo gow ania do ser wera Ne tWare, kt órego wo lum eny chcesz 
montować. Potrzebne będzie ID użytkownika i hasło. Poza tym mu sisz wiedzieć, 
któ ry wo lum en chcesz za mont ować i w ja kim ka tal ogu lo kaln y m. 

Pro sty przykład nc pmo unt 

Pro sty przykład za sto so wa nia ncpmount wygląda tak: 

# ncpmount -S ALES_F1 -U rick -P dOO-b-gud /mnt/brewery 

To po lec enie mon tuje wszyst kie wo lum eny z ser weraALE S_F 1 w ka tal ogu /mnt/bre- 
wery, wykorzystującużytkownikaNetWarerick z hasłem dOO-b-gud. 

Poleceniencpmount zwykle ma pra wo se tu id rooti dla te go może być uży wa ne przez 
każdegoużytkownikaLinuksa.Domyślnieużytkownikjestwłaścicielempołączenia 
i tyl ko on lub rootbę dziemógłjeod montować. 

NetWare korzysta z pojęcia wolumenu, które jest analogiczne do systemu plików 
w Linuksie. Wo lu menNe tW arestanowilo giczną re pre zen ta cję sys te mu pli ków Net- 
Wa re, któ ry może być po je dynczą par ty cją dys kową po dzie loną na wie le par ty cji lo- 
gicz nych. Do my śl nie NCPFS w Linuksie trak tu je wo lu me ny ja ko pod ka ta lo gi wię k 
sze go lo giez ne go sys te mu pli ków re pre zen to wa ne go przez cały ser wer pli ków. Po¬ 
le ce nie ncpmount po wo du je, że ka żdy wo lu men Ne tWa re ser we ra pli ków jest wi- 
docz ny ja ko pod ka ta log w punk cie mon to wa nia .Jest to wy god ne, je żeli chcesz mieć 
do stęp do całego ser we ra, ale gdybyś chciał po now nie wy eks por to wać te ka ta lo gi za 
po mocą NFS-a, nie ste ty nie bę dziesz w sta nie te go zro bić ze skom pli ko wa nych po- 
wo dów tech nicz nych. Za chwi lę omó wi my in ne, bar dziej złożone roz wiąza nia te go 
problemu. 

Po le ce nie nc pmo u nt w sz czegółach 

Poleceni enepmount ma wie le opcji wier sza po le ceń, kt óre po zwa łają na dużą ela- 
stycz ność w spo so bie mon to wa nia NCP. Naj wa żniej sze z nich opi sa no w ta be li 15 -2. 
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Tabela15-2. Argumenty poleceniancpmount 

Ar gu ment Opis 


-S serwer 

-U nazwa uDyt 

N a zwa ser we ra pli ków, z któ regobędąmonto wa ne wo lu me ny. 

ID uży t kow ni ka Ne tW a re uży wa ne do lo go wa nia do ser we- 
ra pli ków. 

-P hasCo 

Hasło uży wa ne do za lo go wa nia się do sys te mu Ne tWa re. 

-n 

Ta opcja musi być uży ta w przy pad ku uży t kow ni ka Ne tWa re, 
kt óry nie po sia da hasła. 

-c 

Ten ar gu ment wyłącza au to ma tyczną kon wer sję haseł na pi- 
sanedużymili terami. 

-c nazwa klienta 

Ta opcja po zwa la ci po dać, kto jest właści cie lem połączę nia 
z ser we rem pli ków. Jest ona uży tęcz na przy dru ko wa niu 
w Ne tW a re, kt óre om ówi my sz cze gółowo za chwi lę. 

-u uid 

ID uży t kow ni ka w Linuksie, który po wi nien być po ka za ny 
jako właści ciel plik ów w za mon to wa nym ka ta lo gu. Je żeli nie 
zosta nie poda ny, domyśl nie bę dzie to uży t kow nik, który 
wy wołał po le ce nie ncpmount. 

-g gid 

ID gru py w Linuksie, która po win na być po ka za na jako 
właści ciel plik ów w za mon to wa nym ka ta lo gu. Je żeli nie zo¬ 
sta nie poda na, do my śl nie bę dzie to ID gru py, do któ rej na le¬ 
ży uży t kow nik wywołujący po le ce nie ncpmount. 

-f prawa dost plików 

Ta opcja po zwa la na usta wie nie praw do stę pu, ja kie po win ny 
mieć pli ki wza mon to wa nym ka ta lo gu. War to ści po win ny 
być okre śla ne ósem kowo, np. 0 6 6 4 . Rze czy wi ste pra wa do- 
stę pu są ob li cza ne przez za ma sko wa nie praw poda nych w tej 
opcji z pra wa mi użyt kow ni ka Ne tWa re do pl ików na ser we- 
rze. Mu sisz mieć pra wa na ser we rze oraz mu sisz po dać pra¬ 
wa w tej opcji, aby uzy skać do stęp do pli ku. Do my śl na 
war tość jest usta la na na pod sta wie ak tu al nej war to ści uma s k. 

-d prawa dost katalogów 

Ta opcja po zwa la na usta wie nie praw do stę pu, ja kie po win¬ 
ny mieć ka ta lo gi w za mon to wa nym ka ta lo gu. Działa w taki 
sam sp os ób jak opcja -/, z tą różnicą, że do my śl ne pra wa do 
stę pu są usta la ne na pod sta wie ak tu al nej war to ści uma s k. 

Pra wa wy ko ny wa nia są przy dzie la ne wszę dzie tam, gdzie 
ist nieją pra wa od czy tu. 

-V wolumen 

Ta opcja po zwa la ci po dać na zwę jed ne go wo lu me nu Net- 
Wa re, kt óry chcesz za mon to wać w punk cie mon to wa nia. 

W prze ciw nym ra zie mon to wa ne są wszyst kie wo lu me ny. 

Ta opcja jest po trzeb na, je żeli chcesz po now nie wy eks por to 
wać przez NFS za mon to wa ne wo lu me ny Ne tW a re. 

-t czas oczekiwania 

Ta opcja po zwa la na okre śle nie, ile cza su klient NCPFS cze¬ 
ka na od po wie dź z ser we ra. Do my śl na war tość to 60 mi li se¬ 
kund. Czas ocze ki wa nia jest po da wa ny w set nych czę ściach 
se kun dy. Je żeli na po tkasz na ja kieś pro ble my ze sta bil no ścią 
wol ume nówNCP, po wi nie neś zwię k szyć tę war tość. 

-r licznik ponownych 
prób 

Kod klien ta NCP próbu je wie le razy wysyłać da ta gra my do 
ser we ra, za nim stwier dzi, że połączę nie jest nie ak ty w ne. Ta 
opcja po zwa la zmie nić do my ślną licz bę prób, która wy no si 5. 
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UkrywanietwojegohasłaużytkownikasystemuNetWare 

Umieszczanie hasła w wierszu poleceń, jak to robiliśmy w poleceniu ncpmount, 
stwa rza pew ne za grożę nie. In ni użyt kow ni cy, któr zy pra cują rów nocześnie z tobą, 
mogliby zobaczyć hasło, gdyby uruchomili takie programy, jak top czy ps. Aby 
zmniej szyć ryzy ko po dej rze nia hasłaNe tWa re, ncpmount może od czy ty wać pew ne 
szc zegóły z pli ku znaj dujące go się w ka ta lo gu ma cie rzy stym użyt kow ni ka. W tym 
pli ku użyt kow nik wpi su je swoją na zwę i hasło z nią związa ne, nie zbęd ne do za lo go- 
wa nia się do serwerów plików, których wo lu me ny chce mon to wać. Plik no si na zwę 
-/.nwclient i mu si mieć pra wa do stę pu 0 6 0 0, że by nikt nie mógł go prze czy tać. Je żeli 
pra wa do stę pu są nie po praw ne, po le ce ni encpmount nie po zwo li wy ko rzy stać te go 
pliku. 

Plik ma bar dzo prostą skład nię. Wszel kie wier sze roz poc zynające się od zna ku # są 
trak tow ane ja ko ko ment arze i są ignor owa ne. Po zos tale wier sze mają na stęp ującą 
składnię: 

serwer_plików/uDytkownik hasUo 

serwer_plikówtona zwa ser we ra pli ków za wie rającego wo lu me ny, kt óre chcesz 
mon to wać. uUytkownik to na zwa kon ta użyt ko w ni ka na ser we rze Ne tW a re. Pole 
hasDojestopcjonalne. Je żeli nie zostanie podane, po lecenie ncpmount pyta o hasło 
w cza sie mon to wa nia wo lu me nu. Je żeli w polu hasOozo sta nie poda ny znak -, kon¬ 
to nie ma hasła. Jest to rów no ważne ar gu men to wi - n wier sza po le ceń. 

W pliku możesz umieścić dowolną liczbę wierszy, ale pole serwera pli ków musi 
być uni kal ne. Pierw szy wpis w pli ku ma szcze gól ne zna cze nie. Po le ce nie ncpmount 
wykorzystuje argument wiersza poleceń -S, aby ustalić, którego wpisu z pliku 
~/.nwclient ma uży wać. Je żeli ser wer nie zo sta nie okre ślo ny przez opcję - S, do my śl- 
nie brany jest pierw szy serwer z pli ku-/.nwclient ijesttraktowanyjakoserwerprefe 
ro wa ny. Na pierw szej po zy cji w pli ku po wi nie neś więc umie ścić ten ser wer pli ków, 
któ re go wo lu me ny mon tu jesz naj czę ściej. 

Bar dziej skom pli ko wa ny przykład nc pmo unt 

Przyjrzyjmy się bardziej skomplikowanemu przykładowi ncpmount wy ko rzy 
stujące mu właśnie opi sane funk cje. Po pierw sze, na pisz my pro sty plik -/ .nwclient: 

# Szczegóły logowania do serwera NetWare dla wirtualnego 

# browaru i winiarni 

# 

# Konto browaru 

ALES_F1/MATT staoicl 

# 

# Konto winiarni 
REDS01/MATT staoicl 

# 

Aby upewnili sil , De prawa dostlpu s poprawne, wykonaj : 


# chmod 600 -/.nwclient 
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Za mon tuj my je den wo lu men z ser we ra wi niar ni we współdzie lo nym pod ka ta lo gu, 
po dając pra wa do stę pu do pli ku i ka ta lo gu, tak by in ni mo gli ko rzy stać z tych da¬ 
nych: 

$ ncpmount -S REDS01 -V RESEARCH -f 0664 -d 0775 /usr/share/winery/data/ 

To po le ce nie w połączę niu z po ka za nym pli kiem -/.nwclient mon tu je wo lu menRE - 
S E ARCH z ser we raRE D S 01 w ka ta lo gu /usr/share/winery/data/ , uży wając kon taMAT T 
i po bie rając hasło z pli ku -/.nwclient. Pra wa do stę pu do za mon to wa nych pli ków to 
0 664,a do katalogów - 07 7 5. 


Kilka innych narzędzi IPX 


Pa kiet ncpfs za wie ra sze reg przy dat nych na rzę dzi, który ch do tej po ry nie opi sa liś- 
my. Wie le z nich naśladuje na rzę dzia do star cza ne z sys te mem Ne tW a re. W ty m pod¬ 
roż dzia le przyj rzy my się naj bar dziej przy dat nym z nich. 

Li sta serwerów 

Polecenies/isfpokazujewszystkie ser we ry plików dostęp ne dla hosta. Informacje są 
w rze czy wi sto ści po bie ra ne z naj bliż sze go ru te ra IPX. W założę niu po le ce nie miało 
za pew ne po ka zać użytków ni kom, z ja kich se rwerów mo żna mon to wać wo lu me ny. 
Stało się jed nak przy dat nym na rzędziem dia gno stycz nym, któ re po zwa la ad mi ni- 
stra to rom sie ci ob ser wo wać, jak są rozgłasza ne in for ma cje SAP: 


$ slist 

NPPWR-31-CD01 

V242X-14-F02 

QITG_284ELI05_F4 

QRWMA-04-F16 

VWPDE-02-F08 

NMCS_33 PARKO 8_F2 

NCCRD-00-CD01 

NWGNG-F07 

QCON_7 TOML10 4_F7 

W639W-F04 

QCON_4 81GYM0 G_F 1 

VITG SOE-MAIL F4R 


23A91330 000000000001 
A3062DB0 000000000001 
78A20430 000000000001 
B2030D6A 000000000001 
35540430 000000000001 
248B0530 000000000001 
21790430 000000000001 
53171D02 000000000001 
72760630 000000000001 
D1014D0E 000000000001 
77690130 000000000001 
33200C30 000000000001 


slist nie przyj muje żadn ych argu mentów. Wy nik po kaz uje na zwę ser wera pli ków, 
ad res sie ci IPX i ad res ho sta. 

Wysyłanie komunikatów do uży tk ow ników Ne tWa re 

NetWare obsługuje mechanizm wysyłania komunikatów do załogowanych użyt¬ 
kowników. Pole ceni ensend im ple men tuje tę funk cję w Linuksie. Aby wysłać ko mu- 
ni kat, mu sisz być za lo go wa ny do ser we ra, a więc mu sisz po dać w wier szu po le ceń 
na zwę ser we ra, szcze goły do tyczące s wo je go kon ta, do ce lo we go uży t ko w ni ka oraz 
komunikatdowysłania: 

# nsend -S vbrew_fl -U gary -P jOyjOy supervisor "Chód my na piwo zanim zro¬ 
bimy kolejki drukowania!" 



Drukowaniedoko lej ki Ne tWa re 


267 


Użytków nik o na zwie gary wy syła tu kuszące za pro sze nie do oso by uży wającej 
konta supervisor na ser we rzeALES_Fl. Jeżeliniepodamyszczegółów,zostanie 
wy ko rzy sta ny nasz do my śl ny ser wer pli ków i da ne o kon cie. 

Przeglądanieioperowaniedany mi bindę ry 

Każdy ser wer pli kówNe tWareposiadaba zę informacji o użytkownikach i kon figu¬ 
ra cji. Ta ba za da nych no si na zwę bindery. Li nux po sia da ze staw na rzę dzi do jej od- 
czy ty wa nia, a je żeli masz pra wa użyt kow ni kasupervisor na ser we rze Ne tWa re, po¬ 
zwą la ta kże na wsta wia nie i usu wa nie jej elementów. W ta be li 15 -3 po da je my li stę 
tych na rzę dzi. 

Ta be la 15-3. Na rzę dzialinuk sowę do opera cji na bindery 


Nazwapolecenia 

Opispolecenia 

nwfstime 

Wy świe tla lub usta wia czas i datę ser we ra Ne tWa re. 

nwuserlist 

PokazujeużytkownikówzalogowanychdoserweraNetWare. 

mmolinfo 

WyświetlainformacjeowolumenachNe tW a re. 

nwbocreate 

T wo rzy obiekt bin de ry Ne tW a re. 

nwbols 

Listujeobiek ty bindery NetWare. 

nwboprops 

Po kazujewłasnościobiektubindery NetWare. 

nwborm 

Usuwa obiekt bindery NetWare. 

nwbpcreate 

Two rzy własność obiek tu bin de ry Ne tWa re. 

nwptrualues 

Dru ku je za war tość własno ści obiek tu bin de ry Ne tW a re. 

mubpadd 

Usta wia war tość własno ści obiek tu bin de ry Ne tWa re. 

nwbprm 

Usuwa własnośćbin dery Ne tWa re. 


Drukowanie do ko lej ki NetWare 

Pa kietnpcfs za wie ra małe na rzę dzie o na zwie nprint, które wy syła za da nia do ko lej ki 
dru ko wa nia przez połączę nie NCPNe tWa re. To po le ce nie two rzy połączę nie, o ile 
ta kie nie ist nie je, i wy ko rzy stu je plik -/ .nwclient , opi sa ny wcze śniej, by ukryć na zwę 
użyt kow ni ka i hasło przed wś cib ski mi oso ba mi. Ar gu men ty wier sza po le ceń uży¬ 
wa ne w pro ce sie lo go wa nia są ta kie sa me jak ar gu men ty polecenia ncpmount, a więc 
nie będziemy ich tu powtarzać. W naszym przykładzie omówimy najważniejsze 
opcje wier sza po le ceń; sz cz egóły znaj dziesz na stro nach podręcz ni ka elek tro nicz ne 
go nprint(l). 

Je dyną wy mag aną opcj ąnprin t jest na zwa pli ku do wy druk owa nia. Je żeli na z wa pli¬ 
ku zo stan ie poda na w po staci zna ku - lub nie zo stan ie w og óle poda na ,nprin t przyj¬ 
mie zadaniezestandard owe go wejścia. Najważniejsze opcje nprint to ser wer pli ków 
i ko lejka dru kow ania, do których chcesz wysłać za dan ie. Ta bela 15 -4 za wiera naj- 
waż niejsze opcje. 
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Ta be la 15-4. Opcje wier sza po le ceń nprint 


Opcja 

Opis 

-S nazwa serwera 

Nazwa ser we ra pli kówNe tWa re obsługującego ko lej kę dru ko 


wa nia, do któ rej chcesz wysłać za da nie. Zwy kle wy god nie jest 


mieć wpis do tyczący ser wera w pli ku -/.nwclient. Ta opcja jest 


obowiązkowa. 

-q nazwa kolejki 

Ko lej ka dru ko wa nia, do któ rej chcesz wysłać za da nie. Ta opcja 


jestofao wiązkowa. 

-d opis zadania 

Tekst, któ rypojawisięnakonsolidruko wa nia na liś cie za ko lej ko 


wa nych za dań. 

-1 wiersze 

Licz ba wier szy do wy dru ko wa nia na stro nie. Do my śl nie 66. 

-r kolumny 

Licz ba ko lumn do wy dru ko wa nia na stro nie. Do my śl nie 80. 

-c kopie 

Licz ba ko pii do wy dru kowania.Do my śl nie 1. 


Prostyprzykładwykorzystującypoleceniewpraf wygląda tak: 

$ nprint -S REDS01 -q PSLASER -c 2 /home/matt/ethylene.ps 

To po lec enie wy druk owałoby dwie ko pie pli ku /home/matt/ethylene.ps na dru karcę 
PSLASER podłączo nej do ser wera REDS 01 ko rzy stając z kon ta (na zwy użytkow ni- 
ka i hasła) uzy ska ne go z pli ku -/.nwclient. 

Uży wa nie n pri nt z de mo nem d ru kar ki wier szo wej 

Przy po mnij so bie, jak mówiliśmy, że opcja -c po le ce niancpmountjest przy dat na do 
drukowania. Teraz wyjaśnimy dlaczego. 

Li nux zwy kle uży wa opro gra mo wa nia dru kar ki wier szo wej w sty lu BSD. De mon 
dru kar ki wier szo wej (Ipd) spraw dza lo kal ny ka ta logbu fo ra, szu kając w nim sko lej ko¬ 
wanych za dań do wy dru ko wa nia .Ipd. od czy tu je na zwę dru kar ki i in ne pa ra me try ze 
specjalnego pliku bufora i zapisuje dane na drukarkę, opcjonalnie przesyłając je 
przez filtr w ce lu zmia ny lub wy ko na nia na nich ja ki chś ope ra cji. 

Demon Ipd wy kor zystuje prostą ba zę da nych /etc/printcap, w której za pis ane są in- 
form acje kon fig ura cyj ne, rów nież o tym, ja kie fil try uruc homić. Ipd zwy kle działa 
z pra wa mi do stępu spe cjaln ego użytk owni ka sys tem owe golp. 
nprint możesz skon fig uro wać ja ko filtr dla Ipd, co po zwoli użytk owni kom Linuk sa 
na wy syłanie da nych bez poś rednio na dru karki zdał ne, które są obsługiw ane przez 
serwery plików NetWare. Aby to zrobić, użytkownik lp musi mieć możliwość 
wysłania żądań NCP do ser wera Ne tWare. 

Prostym sposobem na zrobienie tego bez potrzeby tworzenia przez lp własnego 
połączę nia i lo gow ania się do ser wera jest okreś lenie lp ja ko właścic iela połączę nia 
ustal one go przez in nego użytk owni ka. Pełny przykład, jak skon fig uro wać sys tem 
dru kow ania Linuk sa do obsługi za dań dru kow ania od klientów Ne tware, składa się 
z trzech etapów: 
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1. Tworzenieskryptupośredniego. 

Plik /etc/printcapnie po zwa la na po da wa nie fil trom opcji. Dla te go mu sisz na pi sać 
pro sty skrypt, który wywoła po le ce nie wraz z opcja mi. Skrypt po śred ni może 
wyglądać tak: 

#!/bin/sh 

# p2pslaser - prosty skrypt przekierowujDcy stdin do kolejki 

# PSLASER na serwerze REDS01 

# 

/usr/bin/nprint -S REDS01 -U Stuart -q PSLASER 

# 


Za pisz skrypt w pli ku /usr/local/bin/p2pslaser. 

2. Umiesz cze nie wpi su w pli ku /etc/printcap. 

Będzie my mu sie li skon fi gu ro wać utwo rzo ny skrypt p2pslaser jako filtr wy jś cio- 
wy w pli ku /etc/printcap. Bę dzie to wyglądało tak: 

pslaser|Postscript Laser Printer hosted by NetWare server:\ 

:lp=/dev/nuli:\ 

:sd=/var/spool/lpd/pslaser:\ 

:if=/usr/local/bin/p2pslaser:\ 

:af=/var/log/lp-acct:\ 

:lf=/var/log/lp-errs:\ 

:pl#66:\ 

:pw#80:\ 

:pc#150: \ 

:mx#0:\ 

: sh: 

3. Do da nie opcji -cdo po le ce nia ncpmount. 

ncpmount -S REDS01 .... -c lp .... 

Lo kal ny użyt kow nikstuartmusi po dać użyt kow ni ka lp jako właści cie la połączę 
nia, gdy za montuje zdał ny ser werNe tWa re. 

Teraz dowolny użytkownik Linuksa może podać pslaser jako nazwę drukarki 
przy wy wołaniu lp. Za da nie dru ko wa nia zo sta nie wysłane do okre ślo ne go ser we ra 
Ne tWa re i umiesz czo ne w buforze do dru ko wa nia. 


Zarządzaniekolejkamidrukowania 

Pole ce ni epqlist po ka zu je wszyst kie do stęp ne dla cie bie ko lej ki dru ko wa nia na da¬ 
nym ser we rze. Je żeli nie po dasz ser we ra w wier szu po le ceń, uży wając opcji-S, albo 
nie po dasz na z wy uży t kow ni ka czy hasła, zo staną przy ję te do my śl nie wpi sy z pli ku 
-/ .nwclient: 

# pąlist -S vbrew_fl -U quest -n 

Server: ALES_F1 

Print ąueue name Queue ID 


TEST 

Q2 

NPI223761_P1 

Q1 

I-DATA 

NPI223761 P3 


AA02009E 

EF0200D9 

DA03007C 

F1060004 

0D0A003B 

D80A0031 
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Roz dział 15: IPXi sys tem pli ków NCP 


Nasz przykład po ka zu je li stę ko le jek dru ko wa nia do stęp nych dla użytków ni ka gu- 
est na ser we rze ALES_F1*. 

Aby obej rzec za da nia dru ko wa nia w ko lej ce, użyj po le ce nia pcjstat.]a ko ar gu ment 
przyjmuje ono na zwę ko lej ki i po ka zu je wszyst kie znaj dujące się w niej za da nia. 
Możesz opcjo nal nie po dać in ny ar gu ment mó wiący, ile za dań z ko lej ki chcesz zo ba¬ 
czyć. Po niż szy przykład o wy wy nik zo stał nie co zmniej szo ny, aby zmie ścił się na stro¬ 
nie w tej książce: 

$ pąsstat -S ALES_F1 NPI223761_P1 

Server: ALES_F1 Queue: NPI223761_P1 Queue ID: 6A0E000C 

Seq Name Description Status Form Job ID 

1 TOTRAN LyX document - proposal.lyx Active 0 02660001 

Wi dzimy, że w ko lejce cze ka jed no za dan ie będące własnoś cią użytk owni ka TO¬ 
TRAN. Po zos tale opcje za warte w opis ie za da nia to je go sta tus i iden ty fi ka tor. 

Po lec enie pcjrm jest uży w ane do usuw ania za dań ze wskazanej ko lejki dru kow ania. 
Aby usunąć za dan ie z ko lejki, wy daj po lec enie: 

$ pqrm -S ALES_F1 NPI223761_P1 02660001 

Po le ce nie jest pro ste, ale trud no go użyć z mar szu. War to po świę cić chwi lę i przy go to- 
wać so bie skrypt, który to ułatwi. 

Emulacja serwera NetWare 

Istniejądwabezplatneemulatoryser we rów pli ków Ne tW a re dla Linuk sa. Są to :lwa- 
red, oprą co wa ny przez Ale sa Dry aka, i mars_nwe, oprą co wa ny przez Mar ti na Stove- 
ra. Oba pakiety dają podstawową emulację serweraplikówNetWarewLinuksie, 
umożliwiając klientom NetWare montowanie katalogów Linuksa wyeksportowa 
nych jako wolumeny NetWare. Choć serwer Iwared jest łatwiej skonfigurować, 
marsjiwe ofe ru je wię cej funk cji. In sta la cja i kon fi gu ra cja tych pakietów wy kra cza 
po za ra my te go roz działu, ale oba są opi sa ne w do ku men cie IPX-HOWTO. 


Wygląda na to, że ad mi ni stra to rzy sys te mu pró bo wali kil ku pro duktów wir tu al ne go brcwa ru przed 
ustaleniem nazwko lejek drukowania. Mamy na dzieję,że nazwy twoich ko lejeksą bar dziej sensowne! 
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Zarządzanie UUCP 
Taylora 



Pro to kół UUCP zo stał oprą co wa ny pod ko nieć lat sie dem dzie siątych przez Mike'a 
Le ska w AT&T Bell La bo ra to ries. Je go za da niem jest za pew nie nie pro stej sie ci ko¬ 
mutowanej przez publiczne linie telefoniczne. Mimo popularności połączeń PPP 
i SLIP do In ter ne tu, wie le osób, któ re chcą mieć pocz tę elek tro niczną i gru py dys ku syj- 
ne Usene tu na swo ich do mo wych kom pu te rach, wciąż uży wa UUCP. Po pro stu jest 
to ta ń sze roz wiąza nie, szcze gól nie w kra jach, gdzie użyt kow ni cy In ter ne tu muszą 
płacić za ka żdą mi nu tę miej sco wej roz mo wy te le fo nicz nej lub tam, gdzie nie mają lo¬ 
kal ne go do staw cy In ter ne tu i muszą płacić za roz mo wy za miej sco we. Choć istnie je 
wie le im ple men ta cji UUCP działających na wie lu róż nych piat for mach sprz ę to wych 
i sy s te mach ope ra cyj nych, są one ze sobą kom pa ty bil ne. 

Jed nak tak jak z wię k szo ścią opro gra mo wa nia, któ re w ja kiś spo sób stało się przez 
la ta „stan dar dem", nie ma UUCP, któ re na zy wałoby się po pro stu UUCP. Od za im- 
ple men to wa nia pierw szej wer sji w 1976 ro ku przeszło ono pewną ewo lu cję. Obec nie 
ist nieją dwie głów ne od mia ny, róż niące się przede wszyst kim wspar ciem sprz ę ta 
wym i spo so bem kon fi gu ra cji. Mają one własne im ple men ta cje, a ka żda z nich róż ni 
się od po zo stałych w bar dzo nie wiel kim stop niu. 

Jed na od mia na jest zna na ja ko 2. wer sja UUCP i jej hi sto ria się ga im ple men ta cji Mi¬ 
kę^ Le ska, Davi da A. Novit za i Gre ga Ches so na z ro ku 19 77. Mi mo swo ich lat wciąż 
jest czę sto uży wa na. No we im ple men ta cje tej wer sji są na praw dę bar dziej funk cja 
nal ne niż now sze od mia ny UUCP. 

Dru ga od miana zo stała oprać owa na w 1983 ro ku i jest po wszechn ie na zy w ana BNU 
(Basic Networking Utilities) lub Ho neyD anBer UUCP. Ta ostatn ia na zwa po chód zi od 
na zwiskau torów (P. Ho neym an, D.A. Novitz iB. E. Red man) i czę sto jest skra ca na 
do postaci HDB; tego okre śle nia będzie my używ ali w tym roz dziale. HDB miała 
usunąć pew ne bra ki 2. wersji UUCP. Na przykład zo stały do dane no we pro tokoły 
trans mis ji, a ka tal og bu fora zo stał po dziel ony tak, że te raz jest je den ws pó lny ka ta- 
log dla wszyst kich ośrodk ów dla których obsługuj esz ruch UUCP. 
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Roz dział 16: Zarządza nie UUCP Taylo ra 


Im ple men ta cja UUCP dys try bu owa na obec nie z Linuk sem to tak zwa ne UUCP Tay- 
lo ra wer sja 1.06 i o niej trak tu je ni niej szy roz dział*. Pa kiet Tay lo ra zo stał wy da ny 
w sierp niu 1995 ro ku. Po za pracą z tra dy cyj ny mi pli ka mi kon fi gu ra cyj ny mi może 
być ta kże skom pi lo wa ny tak, by ro zu mieć pli ki kon fi gu ra cyj ne no we go ty pu - zna¬ 
ne rów nież pod nazwą Tay lor. 

UUCP Tay lora jest zwy kle kom pi lo wa ne do wer sji kom pa ty bil nej z HDB, sche ma¬ 
tem kon fi gu ra cyj nym Tay lo ra lub oby dwo ma. Po nie waż sche mat Tay lo ra jest bar¬ 
dziej ela stycz ny niż nie ja sne pli ki kon fi gu ra cyj ne HDB, opi sze my po niż ej właśnie 
ten sche mat. 

Ten rozdział nie jest pomyślany jako wyczerpujący opis opcji wiersza poleceń 
UUCP, ale jako wprowadzenie do skonfigurowania działającego węzła UUCP. 
Pierw szy pod rozdział infor mu jeo tym, jak UUCPim ple mentu je zdalne wykonywa¬ 
nie po le ceń i prze syłanie pli ków. Je żeli nie je steś zu pełnym no wi cju szem w bra nży 
UUCP, możesz go po minąć i prze jść do dal sze go pod roz działu Plikikonfigura cyj ne 
UUCP, któ ry wy ja śnią, jak róż ne pli ki są wy ko rzy sta ne do kon fi gu ra cji UUCP. 

Zakładamy jednak, że znasz programy użytkownika pakietu UUCP, czyli uucp 
i uux. Ewent ual nie ich opis znaj dziesz na stro nach podręcz nika elekt roni cznego. 

Po za pu blicz nie do stęp ny mi pro gra ma mi uucp i uux, pa kiet UUCP za wie ra sze reg 
pole ceńuży wa nych je dyniedocelówad ministra cyjnych. Służą onedomoni torowa¬ 
nia ruchu UUCP twoje go węzła, usuwania starych pli ków log czy kom piło wania 
sta ty styk. Nie będzie my ich tu taj opi sy wać, po nie waż wy ko nują za da nia do dat ko- 
we. Po za tym są do sko na le udo ku men to wa ne i łatwe w obsłudze. Wię cej in for ma cji 
znaj dziesz na stro nach podręcz ni ka elek tro nicz ne go. Jed nak istnie je trze cia ka te go- 
ria pro gra mów: te, któ re „od wa łają całą czarną ro bo tę" UUCP. Są to uucico (gdzie ci¬ 
ao pochodzi od słów copy-in copy-out) i uuxqt, które wykonuje zadania przysłane 
przez sys te my zdał ne. W tym roz dzia le skon cen tru je my się na tych dwóch istot nych 
programach. 

Je żeli nie je steś za dow olo ny z na szego wyboru te mat ów, po win ieneś prze czyt ać do¬ 
kumentację dostarczaną wraz z pakietem UUCP. Jest to zestaw plików Texinfo, 
które opisują konfigurację z wykorzystaniem schematu Taylora. Pliki Texinfo 
możesz prze kształcić w plik dvi za po mocą texi2dvi (który mo żna zna leźć w pa kiec ie 
Texin fo w two jej dys tryb ucji) i obejr zeć go, uży w ając po lec enia xdvi. 

Ko lej nym do sko nałym źródłem in for ma cji na te mat UUCP w śro do wi sku Linuk sa 
jest UUC P-HO WTOau tor stwa Guyl he ma Azna ra. Jest ono do stęp ne w ra mach Pro- 
jek tu Do ku men ta cji Linuk sa i re gu lar nie wy syłane do gru py comp.os.linux.answers. 
Ist nie je rów nież gru pa dys ku syj na po ru szająca te ma ty związa ne z UUCP: comp.ma¬ 
il.uucp . Je żeli masz py ta nia sz cz egółowe do tyczące UUCP Tay lo ra, le piej je za dać 
właśnie tu, a nie w gru pach z se rii comp.os.Hnux. *. 


Na pi sa na i za strze żona przez lana Tay lo ra w 1995 roku. 
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Przesyłanie i zdalne wykonywanie w UUCP 

Dla zro zu mie nia UUCP istot ne jest po ję cie za dań. Ka żda trans mi sja za ini cjo wa na 
przez użytkownika za pomocąwwcp lub unx na zy wa się zadaniem. Składa się ono 
z po le ceń do wy ko na nia na ho ście zdał ny m, ze sta wu pl ików do przesłania mię dzy 
ośrod ka mi lub obu tych elementów. 

Ja ko przykład we źmy po niżs ze po lecenie, kt óre ko piuje przez UUCP p\iknetguide.ps 
do zdał nego ho sta p ablo i wy kon uje na nim po lec enie Ipr dru kujące plik: 

$ uux -r pablollpr lnetguide.ps 

Ge ner alnie UUCP nie wy wołuje na tychm iast zdał nego ho sta, by wy kon ać za dan ie 
(co mógłbyś zro bić za po mocą kermit). Sporządza natomiast tymczasowy opis za¬ 
dań ia. Na żywa się to buforowaniem (ang. spooling). Drze wo kata logów, w któr ym są 
umieszczane zadania, na żywa się katalogiem buforowym i przeważnie znajduje się 
w ka ta lo gu /oar/spool/uucp. W na szym przykładzie opis za dan ia bę dzie za wierał in- 
form acje o zdał nym po lec eniu do wy kon ania (Ipr), użytk owni ku, który złe cił je go 
wy kon anie, i kil ku in nych elem enta ch. Poza opis em za dan ia, UUCP mu si za chow ać 
plik wejściowy netguide.ps. 

Dokład na lo kal iza cja i na zewn ictwo pl ików bu for owy ch może się różnić w za leż- 
ności od opcji wy bran ych w cza sie kom pil acji. UUCP kom pat ybi lne z HDB zwy kle 
zachowuje pliki buforowe w katalogu /var/spool/uucp w podkatalogu o nazwie 
ośrodka zdał nego. W przy padku kom pil acji z kon fig ura cją Tay lora, UUCP two rzy 
w tym ka tal ogu pod kat alo gi dla różnych typów plików bu for owy ch. 

W re gu lar nych od stę pach cza su UUCP dzwo ni do zdał ne go sys te mu. Gdy zo sta nie 
nawiązane połączenie z systemem, UUCP przesyła pliki opisujące zadanie oraz 
wszel kie pli ki we jś cio we. Przy chodzące za da nie nie zo sta nie wy ko na ne na tych miast, 
ale po za ko ńcze niu połączę nia. Wy ko na nie jest obsługi wa ne przez uuxqt, który ta¬ 
kże obsługuje prze ka zy wa nie wszel kich za dańprze zna czo nych dla dru gie go ośrod¬ 
ka. 

Aby roz róż nić mniej ibar dziej istot ne za da nia, UUCP ka ż de mu z nich na da jes topień 
(ang. grade). Jest to cy fra z prze działu od 0 do 9, li te ra z prze działu od A do Z oraz od 
a do z w ko lej no ści ma lejącej prio ry te tów. Pocz ta jest zwy kle bu fo ro wa na ze stop 
niem B lub C, na to miast gru py dys ku syj ne ze stop niem N. Zada nia o wy ż szych stop 
niach są prze syłane w pierw szej ko lej no ści. Stop nie mogą być przy pi sy wa ne za po¬ 
mocą opcji -g w wy wołaniu uucp lub uux. 

W pew nych okre sach cza su możesz również za bro nić prze syłania za dań o stop niu 
mniejszym niż za da ny. Aby to zro bić, ustaw maksymalny stopień buforowania (ang. 
ma ximumspool grade), któ ry bę dzie do pusz czai ny w cza sie kon wer sa cji. Mak sy mai 
ny sto pień bu fo ro wa nia do my śl nie ma war tośćz, co ozna cza, że za da nia o wszyst¬ 
kich stop niach będą prze syłane za ka żdym ra zem. Za uważ, że skład nia jest tu nie co 
nie ja sna: plik jest prze syłany je dy nie wte dy, gdy ma sto pień równy lub większy niż 
maksy malnyprógbuforo wania. 
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Roz dział 16: Zarządza nie UUCP Taylo ra 


Wewnętrznedziałanieuucico 

Krót ki opis te go, jak w rze czy wi sto ści na stę pu je połączę nie ze zdał ny m sys te mem, 
po może zro zu mieć, dla cze go uucico mu si znać pew ne in for ma cje. 

Gdy uruchomisz uucico -s system z wiersza poleceń, uucico najpierw musi zreali¬ 
zować połączę nie fi zycz ne. Po dej mo wa ne działania za leżą od ro dza ju połączę nia, 
ja kie ma by ć otwar te. W przy pad ku li nii te le f o nicz nej wymaga to zna lezie nia modę 
mu i za dzwo nie nia. W przy pad ku TCP, uucico mu si wy wolaćgethostbyname, aby ża¬ 
rnie nić na zwę na ad res sie ci, stwier dzić, który port otwo rzyć, i po wiązać ad res z od- 
po wied nim gniaz dem. 

Po poprawnym nawiązaniu połączenia następuje uwierzytelnienie.Ta procedura 
ogó ln ie składa się z za py ta nia zdał ne go sys te mu o na zwę uży t kow ni ka i ewen tu ał- 
nie hasło. Wymiana tych danych jest powszechnie nazywana dialogiem logowania 
(ang. lo gin chat) . Pro ce du ra uwie rzy teł nia nia jest wy ko ny wa na al bo przez ty po wy 
ze stawgetty/login, al bo przez sam uucico na gniaz dach TCP. Je żeli uwie rzy tel nie nie 
po wie dzie się, dru ga stro na uru cha miauucico. Ko pia uucico po stro nie, która za ini cjo- 
wała połączę nie, czy li lo kal nej, jest na zy wa na nadrzędną (ang. master ), a zdał na ko pia 
jestnazywanapodległą (ang. slave). 

Póź niej na stę pu je fa za uzgad niania (ang. hands hakephase): sys tern nad rzęd ny wy syła 
swoją na zwę ho sta i kil ka znacz ni ków. Sys tern pod legły spraw dza tę na zwę ho sta 
pod wzglę dem praw lo go wania, wy syłania i od bio ru pli ków itd. Znacz ni ki opi sują 
(między innymi) maksymalny stopień plików buforowych, pozwalający na ich 
przesłanie. Je żeli jest włączony licz nikkonw er sac]\\nbnumerkolejny wy wołania (ang. 
callsecju en cenum ber), to są te raz spraw dza ne. Dzię ki tej funk cji obie stro ny mogą po- 
sia dać licz nik po praw nych połączeń i je po rów ny wać. Je żeli licz ni ki się nie zga dzają, 
uzgad nia nie się nie uda je. Jesttoprzy datne do zabez pie cze nia się przed oszu sta mi. 

Na ko nieć oba uucico prób ują uzgodn ić wspólny protokół transmisji. Proto kół ten de¬ 
cyduje o sposobie przesyłania danych, sprawdzaniu ich spójności i retransmisji 
w przypadku błędów. Potrzebne są różne protokoły, ponieważ obsługiwane są 
różne ty py połączeń. Na przykład li nie te lef oni czne wy mag ają „bez pieczn ego" pro¬ 
tokołu, który jest nieufny i wszędzie węszy błędy, natomiast transmisja TCP jest 
z założę nia nie zaw odna i może używ ać efekt ywni ejsze go pro tokołu, któ ry nie wy¬ 
kon uje do datk owe go spraw dzaniabłędów. 

Po za koń czeniu uzgadn iania roz poc zyna się fa za rze czy w ist ej trans mis ji. Obie stro¬ 
ny włączają wy brany ste rown ik pro tokołu. W tym miej scu ste rown iki wy kon ują se 
kwencję inicjacyjną spe cyf iczną dla pro tokołu. 

Na stęp nie sys tern nad rzęd ny wy syła wszyst kie sko lej ko wa ne pli ki do ho sta zdał ne 
go, któr ego sto pieńbu fo ro wa nia jest wy star czająco wy so ki. Gdy sko ńczy, in for mu je 
system podrzęd ny, że zro bił swo je i że ten może się rozłączyć. W tym mo men cie sys¬ 
tem podrzęd ny może zgo dzić się na rozłączę nie lub przejąć kon wer sa cję. Na stę pu je 
za mia na ról: sys tern zdał ny sta je się nad rzęd nym, a lo kal ny sta je się pod ległym. Ne 
wy sys tern nad rzęd ny wy syła swo je pli ki. Gdy za ko ńczy, obauucico wy mie niają ke 
mu ni ka ty za ko ńcze nia i za my kają połączę nie. 



Plikikon fi gu ra cyjne UUCP 


275 


Jeżeli potrzebujesz dodatkowych informacji na temat UUCP, zajrzyj do kodu 
źródłowe go. Po sie ci krąży rów nież na praw dę za byt ko wy ar ty kuł, na pi sa ny przez 
Davi da A. Novit za, ze szcze golowym opi sem pro to kołu UUCP*. Li sta py tań FAQ 
Taylor UUCP rów nież oma wia pew ne szcze goły im ple men ta cji UUCP. Do ku ment 
ten jest re gu lar nie wy syłany do gru py dys ku syj nej comp.mail.uucp. 

Opcje wier sza po le ceń uuci co 

Tu taj podamy naj wa żniej sze opcje wier sza po le c eńuucico: 

—system, -s system 

Dzwonienie do zadanego systemu, dopóki nie zostanie to zabronione przez 
ograniczenia czasowe. 

-S system 

Dzwo nie nie do syst emubez warunkowo. 

-- master, -rl 

Uru chomie nie nucico w try bie nad rzęd ny m. Jest to opcja do my śl na, je żeli zo sta nie 
podane-s lub-S. Opcja -rl po woduje, żeuucico próbuje dzwo nić do wszystkich 
systemów umieszczonych w pliku sys, opisanym w następnym podrozdziale, 
do pó ki nie upłynie czas prze wi dzia ny na roz mo wę lub po wtór ne dzwo nie nie. 

—slave, -rO 

UruchomienieMMcico w try bie podległym. Jest to tryb domyślny, jeżeli nie zo¬ 
staną poda ne opcje -s lub -S. W try bie tym zakłada się, że uży w ane jest stan dard- 
owe wejście/wyjście podłączone do portu szeregowego albo do portu TCP 
okreś lone go przez opcję -p. 

—ifwork, -C 

Ta opcja uzu pełnia -s lub -S mówiąc pro gra mówi uucico, by dzwo nil do wy mie- 
nio nych sy ste mów tyl ko wte dy, gdy w bu fo rze są dla nich za da nia. 

-- debug typ, -x typ, -X typ 

Włączę nie de bu go wa nia za da ne go typu. Może być poda ne kil ka ty pów w po sta- 
ci li sty od dzie lo nej prze cin ka mi. Do pusz czai ne są na stę pujące typy: ab n o rma 1, 
chat, handshake, uucp-proto, pro to, port, config, spooldir, execu te, 
incoming ioutgoing.Uży cie a 11 włącza wszyst kie opcje. Dla kom pa ty bil ności 
z im ple men ta cja mi UUCPmo żna po dać ta kże licz bę, któ ra włącza de bu go wa nie 
dla n pierw szych ele men tów z po wy ż szej li sty. 

Ko mun ika ty z de bug owa nia zo staną za pis ane do pli ku Debug w ka tal ogu /var/spo- 
ol/uucp. 

Pliki konfiguracyjne UUCP 

W odr óż ni en iu od prost szych progr amów do prze syłania plików, UUCP zo stało za- 
pro jek to wa ne tak, by obsługi wało au to ma tycz nie wszyst kie trans mi sje. Je śli zo sta¬ 
nie po praw nie skon fi gu ro wa ne, to nie wy ma ga stałej opie ki ad mi ni stra to ra. In for- 


* Za wie ra go ta kże książka Sys teinMan ager's Ma nual dołączo na do sys te mu 4.4BSD 
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ma cje po trzeb ne do au to ma tycz nej trans mi sji są prze cho wy wa ne w kil ku pli kach 
konfiguracyjnych, znajdujących się w katalogu /usr/lib/uucp. Wię k szość z nich jest 
uży wa na ty 1 ko w cza sie dz wo nie nia. 

Łagod ne wpro wa dze nie do UUCPTay lo ra 

Po wie dze nie, że kon fi gu ra cja UUCP jest trud na, bę dzie ni edomówieniem. W rze 
czy wi sto ści jest bar dzo skom pli ko wa na i cza sem na wet zwięzły for mat pli ków kon- 
fi gu ra cyj nych nie ułatwia spra wy (choć for mat Tay lo ra i tak czy ta się łatwo w poró¬ 
wnaniu ze star szy mi for ma ta mi HDB lub wer sji 2). 

Aby po kaz ać, jak współdziałają wszyst kie pli ki kon fig ura cyj ne, przed staw imy naj- 
waż niejsze z nich i przyj rżymy się pro stym wpi som w tych pli kach. Nie będzie my 
teraz wyjaśniać wszystkiego szczegółowo. Dokładniejsze informacje są podane 
w na stępn ych pod rozd ziałach. Gdy byś chciał skon fig uro wać UUCP na swo im kom¬ 
puterze, najlepiej zacząć od przykładowych plików i po kolei je adaptować do 
własnych po trzeb. Możesz wy kor zyst ać tu po kaz ane pli ki lub te załączo ne w two jej 
ulub ionej dys tryb ucji Linuksa. 

Wszyst kie pli ki opi sa ne w tym pod roz dzia le znaj dują się w ka ta lo gu /etc/uucp lub je go 
pod ka ta lo gach. Dys try bu cje Linuk sa za wie rają bi na ria UUCP, które obsługują zarówno 
kon fi gu ra cję HDB, jak i sche mat Tay lo ra, ale ka żdy ze staw pl ików ma swój własny pod¬ 
katalog. W kata logu/Msr/Hb/wMcp zwykle bę dzie znaj do wał się plik README. 

Aby UUCP działało poprawnie, pliki te muszą należeć do użytkownika uucp. 
Niektóre z nich za wier ają hasła i nu mery te lef onów i dla tego po winny mieć pra wo 
dostępu 600. Za uważ, że choć wię ks zość po lec eń UUCP mu si mieć pra wo se tuid 
użytkownika uucp, musisz pamiętać, że nigdy wie może go mieć program uuchk. 
W prze ci w ny m ra zie uży tk owni cybędąmogli wy ś wiet lać hasła sys tern owe, na wet 
je żeli pli ki z hasłami będą miały pra wo do stępu ustaw ione na 600. 

Głównym pli kiem kon fi gu ra cyj nym UUCP jest /etc/uucp/config, w któ rym są usta wia- 
ne pa ra me try og ól ne. Naj wa żniej szy z nich (i w tej chwi li je dy ny) to na zwa two je go 
ho sta UUCP. W wir tu al nym bro wa rze ga te way em UUCP jest hostvstout. 

# /etc/uucp/config - gDówny plik konfiguracyjny UUCP 

nodename vstout 

Plik sys jest kolejnym ważnym plikiem konfiguracyjnym. Zawiera wszystkie in- 
form acje spe cyf iczne dla systemów, z którymi je steś połączo ny. Na leżą do nich na¬ 
zwa ośrodka i in form acje o sa mym łączu, ta kie jak nu mer te lef onu, je żeli jest wy ko¬ 
rzy sty wa nełączemodem owe. T y po wy wpis dla ośrodka p ablo podłączo nego przez 
mo dem wyglądałby tak: 

# /usr/lib/uucp/sys - nazwy sdsiadów UUCP 

# system: pablo 

system pablo 

time Any 

phone 555-22112 

port seriali 

speed 38400 

chat ogin: vstout ssword: lorca 
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time okre śla, o której go dżinie sys tem zdalny może być wy woły wa ny. chat opisu¬ 
je skryp ty dia lo gu lo go wa nia - ko lej ne ciągi, które muszą być wy mie nio ne, aby uuci¬ 
co mogło za lo go wać się do p ablo. Do skryptów dia lo gu lo go wa nia jesz cze wrócimy. 
Słowo klu czo we p o r t na da je po pro stu na zwę wpi so wi w pli ku port (patrz ry su nek 
16-1). Możesz przy pi sać do wolną na zwę, o ile od wołuje się do po praw ne go wpi su 
w pli ku port. 

Plik port za wie ra in for ma cje spe cy ficz ne dla sa me go łącza. Dla łączy modę mo wych 
opi su je spe cjal ny plik urządzę nia, ja ki ma być uży ty, za kres obsługi wa nych pręd ko¬ 
ści i typ urządzę nia podłączo ne go do por tu. Po niż szy wpis opi su je /dev/ttySl (czy li 
COM2), do którego ad mi ni stra tor podłączył mo dem Na kWell, kt óry może działać 
z pręd ko ścią do 38400 bitów na se kun dę. Na zwa por tu jest do bra na tak, by od po wia- 
dała tej z pli ku sys: 

# /etc/uucp/port - porty UUCP 

# /dev/ttySl (COM2) 

port seriali 

type modem 

device /dev/ttySl 

speed 38400 

dialer nakwell 

In f or ma cja na tematmode mów jest prze cho wy wa na w jesz cze in nym pli ku o na z wie 
dial. Dla ka ż de go ty pu mo de mu za wie ra on ciąg po le ceń, któ re trze ba wy ko nać, aby 
połączyć się z ośrod kiem zdał nym o za da nym nu me rze te le fo nicz nym. Znów jest to 
określone przez skrypt dialogowy. Na przykład wpis dla NakWell mógłby wy¬ 
glądać tak: 

# /etc/uucp/dial - informacje o dzwoniących 

# modemy NakWell 

dialer nakwell 

chat * * AT&F OK ATDT\T CONNECT 

Wiersz roz poc zynający się od chat okreś la dia log mo demu, czy li ciąg po lec eń wy¬ 
syłanych i od bier any ch przez mo dem w ce lu je go inic jacji i wy kon ania połączę nia 
z żąda nym nu mer em. Se kwenc ja \Tzo stan ie za stąpio na przez uucico nu mer em te 
lefonu. 

Abyś z grubsza miał pojęcie, jak uucico wykorzystuje te pliki konfiguracyjne, 
załóżmy, że wy daj esz na stęp ujące po lec enie: 

$ uucico -s pablo 

Pierw sza rzecz, jaką ro bi uucico, to po szuk anie pablo w pli ku sys. Na pod staw ie wpi¬ 
su pablo w pliku sys wia domo, że połączę nie na leży zre aliz ować przez port se¬ 
riali. Plik port mówi uucico, że jest to port mo demu, do którego podłączo ny jest 
modemNakWell. 

Następnie uucico po szuk uje w pli ku dial wpi su dla mo demu Na kWell. Po je go zna- 
lez ieniu otwiera port sze reg owy /dev/cual i wy kon uje dia log dzwo nien ia. Oznac za 
to, że wy syła AT&F, cze ka na od pow iedź OK itd. Gdy na pot ka ciąg \ T, za stęp uje go 
nu mer em te lef onu (55 5-2 2112) uzys kanym z pli ku sys. 
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Gdy mo dem zwró ci ciągC ONNECT, połączę nie zo sta je na wiąza ne i dia log mo de mu 
zostaje żako ńczony.MMcico po wra ca do pli kusys i wy ko nu je dia logio go wa nia. W na¬ 
szym przykładzie bę dzie on cze kał na mo nit login:, a na stęp nie wy ś le na zwę użyt¬ 
kownika (vstout), po cze ka na mo nit password: i wy ś le hasło ( lorca). 

Zakłada się, że po za ko ńcze niu pro ce du ry u wie rzy tel nia nia zdał ny sys tern uru cho mi 
uucico po swo jej stro nie. Na stęp nie obie stro ny przejdą do fa zy uzgad nia nia, opi sa- 
nej w po przed nim pod roz dzia le. 

Rysunek 16-1 pokaz ujeza leż ności po między pli kami konfiguracyjnymi. 


Plik sys 


system pablo 


port 

speed 


seriali 

38400 


Plikdiai 


Pli k po rt 


port 

seriali 

type 

modem 

speed 

38400 

device 

flewtual 

dialer 

nakwill 


dialer 

nakwdll 

chat 

"ATZ... 

chat-fail 

BLISy 


Rysu nek 16-1 .Powiązaniaplikówkonfiguracyjnych UUCPTay lora 


Co musi wie dzieć UUCP 

Za nim za czniesz two rzyć pli ki kon fi gu ra cyj ne UUCP, mu sisz wie dzieć co nie co o je 
go wymaganiach. 

Najpierw musisz stwierdzić, do jakiego portu szeregowego podłączony jest twój 
mo dem. Zwy kle por ty (DO S-a) od COM1: do COM4: od zwier cie dlają pli ki spe cjal ne 
/deo/ttSO do /dev/ttyS3. Niektóre dys try bu cje, ta kie jak Slac kwa re, tworzą do wiąza¬ 
nie /deo/modem do od po wiednie go pli ku urządzę nia ttyS * i kon figurują pro gra my 
komunikacyjne,takiejakfermif,sei/ojr, w ten sposób, by uży wały te go do wiąza nia. 
W takim przypadku powinieneś używa ć /dev/modem także w swojej konfiguracji 
UUCP. 

A oto dlaczego sięga się po do wiąza nie symboliczne. Wszystkie pro gra my dzwo¬ 
niące uży wają tak zwa nych plikówblokującychdosy gna lizo wa nia, że port sze re go wy 
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jest za ję ty. Na zwy tych plików blo kujących są połączę niem ciągu LCK.. i na z wy pli¬ 
ku urządzę nia, na przykład LCK..ttySl.]e żeli pro gra my róż nie nazywają tosa mo 
urządzę nie, nie uda im się roz po znać in nych pl ików blo kujących. W kon se kwen cji, 
będą zakłócały sobie wza jem nie se sje, je żeli zo staną uru cho mio ne w tym sa mym 
czasie. Jest to możliwe, gdy zaszeregujesz wywołania UUCP za pomocą wpisu 
w crontab. Szcz egóły kon fi gu ra cji por tu sze re go we go znaj dziesz w roz dzia le 4, Kon fi 
gurowanie urządzeń sze rego wych. 

Na stępn ie mu sisz stwier dzić, z jaką pręd koś cią Li nux ko mun iku je się z two im mo¬ 
demem. Musisz ustawić tę prędkość na najbardziej efektywną wartość, jaką 
chciałbyś uzys kać. Efekt ywna prze pus towo ść może być du żo wy żs za niż su rowa 
prze pus towo ść fi zyczna za pewn iana przez mo dem. Na przykład wie le mod emów 
wy syła i od biera da ne z pręd koś cią 56 kbps. Przy za stos owa niu pro tokołów kom¬ 
pres ji, ta kich jak V.42bis, rze czy w ista prze pus towo ść może prze kroć zyć 100 kbps. 

Oczy w iście je żeli UUCP ma mieć nie wiele do ro boty, to wy stare zy ci nu mer te lef onu 
do systemu, do którego chcesz dzwonić. Potrzebujesz także poprawnej nazwy 
użytk owni ka i hasła na ma szyn ie zdał nej*. 

Mu sisz ta kżedokładnie wie dzieć, jak za lo go wać się do sys te mu. Czy mu sisz na ci snąć 
kia wisz [En ter], za nim po ja wi się mo nit lo go wa nia? Czy ma on po stać login: czy 
user:? Jest to wiedza nie zbęd na dostwo rze nia skryptudialogowego. Je żeli te go nie 
wiesz lub jeżeli typowe skrypty nie działają, spróbuj za dzwo nić do sys te mu za po¬ 
mocą pro gra mu ter mi na la, na przykład kermit czy minicom, i za no tuj doklad nie to, co 
zobaczysz. 

Nazewn ictwooś rod ków 

Tak jak w sie ciach opar tych na TCP/IP, twój host mu si mieć na zwę w sie ci UUCP. 
Dopóki chcesz wy ko rzy sty wać UUCP tyl ko to prze syłania plików w sie ci lo kal nej 
lub pomiędzy ośrod ka mi, do których dzwo nisz bez po śred nio, na zwa ta nie mu si 
byćzgodnazżadnymi stan dar darni**. 

Je żeli jed nak używ asz UUCP do połączę nia z pocztą lub gru parni dys kus yjny mi, po¬ 
winieneś po myś leć o na zwie za rej est rowan ej w pro jekc ie ma pow ania UUCP***. Pro 
jekt ma pow ania UUCP jest opis any w roz dziale 1 7,Pocztaelektroniczna. Na wet je żeli 
znaj duj esz się w do men ie, możesz roz waż yć po siad anie of ic jalnej na zwy UUCP dla 
twojego ośrodka. 


* Je żeli tyl ko te stu jesz UUCP, wy korzystajnumerpobliskiegoośrodkaarchiwum.Za pisz na zwę użyt¬ 
ków ni ka i hasło (są one pu blicz nie do stęp ne), by umo żli wić ano ni mo we ko pio wa ne pl ików. W wię k- 
szo ści przy pad kówjest to coś wstylu uucp/uucp lub nuucp/uucp 

** Je dy nym ogra ni cze niem jest to, że nie po win na być dłuż sza niż sie dem zna ków, a więc nie mie szaj ze 
sobą im plemen ta cji UUCP,które działają wsys ternach operacyjnych na rzucających większe ogranicze¬ 
nia co do nazw pli ków. Na zwy, któ re są dłuż sze niż sie dem zna ków, są czę sto przez UUCP skracane. 
Nie któ re wer sje UUCP ogra ni czają na zwy na wet do sze ściu zna ków. 

*** Projekt ma po wa nia UUCP (UUCP Map ping Pm jed) r eje stru je wszyst kie na zwy ho stów UUCP z całego 
świa ta i za pew nia ich uni kal ność. 
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Czę sto lu dzie wy bie rają so bie na zwy UUCP tak, by pa so wały do pierw sze go ele- 
men tu ich pełnej na zwy do me no wej. Załóż my, że ad res do me ny, w któ rej jest twój 
ośro dek, to swim.twobirds.com, a więc na zwa two je go ho sta UUCP bę dzie brzmia¬ 
ła swim. Traktuj ośrodki UUCP tak, jakby znały się po imieniu. Oczywiście mo¬ 
żesz ta k że użyć na zwy UUCP zu pełnie nie związa nej z twoją pełną nazwą do me- 
nową. 

Jed nak spraw dź, czy w ad res ach pocz tow ych przy padk iem nie posłużyłeś się nie 
pełną nazwą ośrodka. Nie masz się cze go oba wiać, je śli za rej est rowałeś ją ja ko swoją 
oficjalną nazwę. W najlepszym wypadku poczta do niezarejestrowanego hosta 
UUCP znik nie w ja kieś du żej czar nej dziu rze. Je żeli uży w asz na zwy wy ko rzy sty wa- 
nej już przez ja kiś in ny ośrod ek, pocz ta bę dzie do nie go prze kier owa na i przy prawi 
ad min ist ratora pocz ty o ból głowy. 

Domyślnie pakiet UUCP używa nazwy definiowanej przez hostname jako naz¬ 
wy ośrod ka UUCP. Ta na zwa jest prze wa żnie usta wia na w cza sie ini cja cji sys te mu 
w skryptach rc i zwykle znajduje się w pliku /etc/hostname. Jeżeli twoja nazwa 
UUCP jest in na niż ta, któ ra znaj du je się w tym pli ku, mu sisz użyć opcji hostname 
w pli ku config, by po in for mo wa ćuucico, ja ka jest two ja na zwa UUCP. Opi su je my to 
dalej. 

Plikikonfiguracyj neTaylora 

Pow ró ćmy te raz do plików kon fi gu ra cyj nych. UUCP Tay lo ra po bie ra swo je in for¬ 
ma cje z na stę pujących plików: 

config 

Jest to główny plik konfiguracyjny.Możesz w nim zdefiniować nazwę UUCP 
swo jego ośrodka, 
sys 

Ten plik opis uje wszyst kie zna ne ośrodki. Dla ka żd ego z nich po siada wpis z jego 
nazwą, go dżin ami wywołania, nu mer em, pod jaki na leży dzwo nić (o ile ist nieje), 
ty pem urządzę nia, któ rego trze ba uży wać, i spo sob em lo gow ania. 
port 

Ten plik zawiera wpisy charakteryzujące każdy z dostępnych portów wraz 
z obsługiw aną pręd koś cią i ty pem mo demu. 

dial 

Ten plik opis uje typy urządzeń uży w ane do re aliz acji połączę nia te lef oni cznego. 
dialcode 

Ten plik za wiera roz win ięcia sym boi iczny ch num erów kie runk owy ch. 
cali 

Ten plik za wie ra na zwę użyt kow ni ka i hasło uży wa ne przy dzwo nie niu do sys¬ 
temu. Jest rząd ko uży wany. 
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passwd 

Ten plik za wie ra na z wy uż ytkowników i hasła, kt órymi sys te my mogą posługi¬ 
wać się przy logowaniu. Jest używany tylko wtedy, gdy uucico przeprowadza 
własne spraw dza nie haseł. 

Pliki konfiguracyjne Taylora ogólnie składają się z wierszy zawierających pary 
słowokluczowe-wartość. Znak hasha oznacza wiersz z komentarzem. Aby użyć 
zna ku # we własnej ro li, za ma skuj go od wrót nym uko śni kiem, czy li tak: \ #. 

Ist nie je sze reg opcji, któ re możesz do sto so wać, uży wając tych pli ków kon fi gu ra cyj- 
nych. Nie możemy przej rżeć wszyst kich pa ra me trów, ale omó wi my tu naj wa żniej- 
sze z nich. Po ich omówieniu powinieneś być w stanie skonfigurować łącze 
UUCP oparte na mo de mie. Na stęp ne pod roz działy opi sują mo dy fi ka cje wy ma ga ne 
do używania UUCP w sieci TCP/IP lub przez bezpośrednie łącze szeregowe. 
Pełny opis znaj du je się w do ku men cie Texin fo dolączo nym do źró deł UUCP Tay¬ 
lora. 

Gdy uznasz, że w pełni skon fi gu ro wałeś sys tern UUCP, możesz spraw dzić swoją kon- 

figurację,używającnarzędziaMMc/zk(znajdującegosięwkatalogu/Msr/h?V«wcp). uuchk 

odczytujetwojeplikikonfiguracyjneidrukujeszczegółowyraportokonfiguracji uży¬ 
wa nej dla ka ż de go z sy s te mów. 

Ogó I ne opcje kon f i gu ra cyj ne uży wa ne w pli ku eon fig 

W za sa dzie te go pli ku nie bę dziesz uży wal do ni cze go in ne go po za zde fi nio wa niem 
na z wy ho sta UUCP. Do my śl nie UUCP bę dzie wy ko rzy sty wać na zwę usta loną po le 
ce niem hostname, ale dobrze jest jed nakusta wić nazwę UUCP w sposób jaw ny. Oto 
przykład pli ku config: 

# /usr/lib/uucp/config - gDówny plik konfiguracyjny UUCP 
hostname vstout 

W ty m pli ku mo żna usta wić ta kże sze reg in ny ch pa ra me tró w, ta kich jak na z wa ka ta- 
lo gu bu fo rujące go czy pra wa do stę pu dla ano ni mo we go UUCP. Omó wi myje w dal¬ 
szej czę ści te go roz działu, w pod roz dzia 1 e Anonimowe UUCP. 

Jak za po mocą pli ku sys po wie dzieć UUCP o in nych sys te mach 

Plik sys opi su je sys te my zna ne two je mu kom pu te ro wi. Do wol ny wpis w tym pli ku 
jest po prze dza ny słowem klu czo wym s y s t em, a ko lej ne wier sze, aż do na stęp ne go 
słowa system, okre ślają szcz egółowe pa ra me try dla da ne go ośrod ka. Prze wa żnie 
ta ki wpis de fi niu je pa ra me try, ta kie jak nu mer te le fo nu i dia log lo go wa nia. 

Parametry wy stępujące przed pierw szymwpisemsystem są używ ane dla wszyst¬ 
kich system ów. Zwy kle w sek cji par ametrów domyśl nych usta wiaszpa ram etry pra 
tokolu i tym po dobne. 

Naj częś ciej spo tyk ane po la są om ówione sz czegółowo da lej w tym rozdziale. 
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Nazwasystemu 

Po le ce nie system okre śla na zwę systemuzdalnego.Musiszpodaćjegopo prawną na¬ 
zwę, a nie alias, po nie waż uucico spraw dza w cza sie lo go wa nia, jaką nazwą przed- 
sta wia się sys tem zdał ny*. 

Na zwa ka ż de go sys te mu może po ja wić się tyl ko raz. Gdy byś chciał użyć kil ku zesta¬ 
wów kon fi gu ra cji dla te go sa me go sys te mu (na przykład różnych numerów te le fonu, 
kt óre uucico po win no po ko lei wy pr óbowy wać), możesz użyć słowa alternatwes, kt óre 
opi sze my po pod sta wo wych opcjach kon f i gu ra cyj nych. 

Numertelefonu 

Je żeli chce my się łączyć z sys te mem zdał nym przez li nię te le fo niczną, po le phone 
opi su je nu mer, pod który na le ży dzwo nić. Może za wie rać kil ka lek semów in ter pre 
to wa nych przez pro ce du rę dzwo nie mauucico. Znak równości (=) ozna cza cze ka nie 
na powtórny ton, a znak mi nus (-) ge ne ru je jed no se kun dową prze rwę. Niek tóre in¬ 
stalacje telefoniczne nie chcą działać, jeżeli nie dodasz przerwy pomiędzy spe¬ 
cjalnym kodem do stę pu a nu me rem te le fo nu**. 

Czę sto wy godn ie jest używ ać nazw za miast nu merów przy opis ywa niu nume rów 
kierunkowych. Plik dialcode po zwala po wiązać na zwę z ko dem, kt óry mo żna na¬ 
stępnie wykorzystać przy wpisywaniu numeru telefonu do hostów zdalnych. 
Załóżmy, że masz na stęp ujący plik dialcode: 

# /usr/lib/uucp/dialcode - tłumaczenie dialcode 
Bogoham 024881 

Coxton 035119 

Mając ta kie tlumac zenie, możesz użyć wpli ku sys numeru Bogoham7 7 32, co praw- 
dop odo bnie spo wod uje, że wszyst ko bę dzie bar dziej czy telne i łatwiej sze do uak tu- 
al nia nia, gdyby nu mer kie runk owy do Bo goh am kie dyk olwi ek się zmie nil. 

Port i pręd kość 

Opcje port i speedsą wy korzy stywa ne do wskazania urządzę nia, przez które na- 
wiązy wa ne jest połączę nie z sys te mem zdał nym, i pręd ko ści, z jaką ma działać***. 
Wpis system może za wie rać ka żdą z tych opcji od dziel nie lub obie ra zem. Przy po- 
szu ki wa niu odpowiednie go urządzę niawpli ku port , wy bie ra ne są tyl ko por ty o pa¬ 
sującej na zwie i /lub za kre sie pręd ko ści. 

Generalnie użycie samej opcji speed powinno wystarczyć. Gdybyś w pliku port 
miał zdefiniowane tylko jedno urządzenie szeregowe,Mwcicozawszewybierałoby 
po praw nie, a więc mu sisz mu po dać tyl ko żądaną pręd kość. Gdy byś do swo je go 
kom pu te ra miał podłączo ne kil ka mo de mów, wciąż nie war to nada wać na zwy ka ż- 


* Star sze wer sje 2 UUCP nie rozgłaszały swo ich nazw przy połączę niu. Jed nak now sze im ple men t acje 
czę sto to robią, rów nież UUCP Tay lo ra. 

** Na przykład większość wewnętrznych sieci telefonicznych w firmach wymaga, być dzwonił na 
zewnątrz przez 0 lub 9. 

*** Szyb kość trans mi sjitfy w bi tach na se kun dę musi być przy najm niej tak duża, jak mak sy mai na prze pu¬ 
sto wość łącza. 
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demu portowi, po nie waż gdy by uucico stwier dzilo, że kil ka z nich pa su je, pró bo- 
wałoby ka ż de go urządzę nia po ko lei, aż na tra fiłoby na nie uży wa ne. 

Dialog logowania 

Spo tka liś my się już ze skryp tern lo go wa nia, któ ry mó wi uucico, jak za lo go wać się do 
sys te mu zdał ne go. Składa się on z li sty lek se mów okre ślających ocze ki wa ne i wy¬ 
syłane przez lo kal ny pro ces uucico ciągi zna ków. uucico cze ka aż zdał ny host wy ś le 
mo nit lo go wa nia, na stęp nie po da je na zwę użyt kow ni ka, cze ka na wysłanie przez 
sys tern zdał ny za py ta nia o hasło i wy syła hasło. Ocze ki wa ne i wy syłane ciągi zna¬ 
ków są umiesz czo ne w skryp cie na zmia nę. uucico au to ma tycz nie do da je znak po- 
wro tu ka ret ki (\ r) do wy syłane go ciągu. Pro sty skrypt mógłby wyglądać tak: 

ogin: vstout ssword: catch22 

Prawdopodobnie zauważyłeś, że pola oczekiwanego ciągu nie zawierają całych 
monitów. Dzię ki temu lo go wa nie się powiedzie, na wet je żeli zdał ny host prze śleLo- 
gin: zamiast login:. Jeżeli oczekiwany lub wysyłany ciąg zawiera spacje albo inne 
białe zna ki, mu sisz wziąć go w cu dzysłów. 

uucico po zwa la ta kże na swe go ro dza ju wy ko ny wa nie wa run ko we. Po wiedz my, że 
getty na zdał nej ma szy nie mu sibyć wy ze ro wa ny przed wysłaniem mo ni tu. W tym 
ce lu możesz dołączyć do ocze ki wa ne go ciągu pod dia log, wy woły wa ny zna kiem -. 
Poddia log jest wykonywa ny wtedy, gdy główny ocze kiwany ciągniezosta niedopa- 
sowany,tj. zostanie przekroczony czas ocze kiwa nia. Jednym zesposobówna uży cie 
tej f unk cji jest wysłanie sy gnału BRE AK, je żeli zdał ny ośrodek nie wy ś wie tli mo ni tu 
logo wania. Poniż szy przykład pokazu jeskrypt dialogowy ogólne go prze zna cze nia, 
któ ry po wi nien działać ta kże w przy pad ku, gdy mu sisz na ci snąć [En ter] przed po ja- 
wieniemsięmonitu.Pustypierwszyargument(" ") mó wi UUCP, by na nic nie cze¬ 
kało, ale działało da lej, wy syłając ko lej ny ciąg zna ków: 

"" \n\r\d\r\n\c ogin:-BREAK-ogin: vstout ssword: catch22 

W skryp cie dia lo go wym może wystąpić kil ka zna ków uni ko wych (ang. esca pe) i spe¬ 
cjał nych ciągów. Oto czę ścio wa li sta zna ków do pusz czai nych w ocze ki wa ny m cią gu: 

u u 

Ciąg pu sty. Mówi uucico, by nie cze kało na nic, ale na tych miast wysłało na stęp ny 
ciąg. 

\t 

Znak ta bu la cji. 

\r 

Znak po wro tu ka ret ki. 

\s 

Spa cja. Po trzeb ne do umiesz cza nia spa cji w ciągu dia lo go wym. 

\n 

Znak no we go wier sza. 

W 


Od wrotny uko śnik. 
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Po za po wy ż szy mi zna ka mi w wy syłanych ciągach znaków do pusz czai ne są po niż¬ 
sze zna ki uni ko we: 

EOT 

Znak ko ńca trans mi sji ( A D). 

BREAK 

Znakprzerwa nia. 

\c 

Za po bie ga wysłaniu zna ku po wro tu ka ret ki na ko ńcu ciągu. 

\d 

Opóź nie nie wysyłania o 1 se kun dę. 

\E 

Włączenie sprawdzania echa. Nakazuje uucico czekać na echo wszystkiego co 
wy ś le, za nim bę dzie pro wa dzić dal szy dia log. Przy da je się w dia lo gach mo de 
mo wych (co zo ba czy my póź niej). Spraw dza nie echa jest do my śl nie wyłączo ne. 

\e 

Zablokowaniesprawdzaniaecha. 

\K 

To samo co BREAK. 

\P 

Cze ka nie przez ułamek se kun dy. 

Alternatywy 

Cza sem chcesz mieć kil ka wpi sów dla jed ne go sys te mu, na przykład je żeli mo żna do 
nie go do trzeć przez różne li nie mo de mo we. W przy pad ku UUCP Tay lo ra możesz to 
zrobić, de fi niując tak zwanealternatywy (ang. alternates). 

Wpis al tern aty wny za chow uje wszyst kie ustaw ienia głównego wpi su cha rakt ery- 
żujące go sys tern i okres la tyl ko te war toś ci, któ re po winny być zmie nione lub do¬ 
dane. Wpis al tern aty wny jest umieszc zany za wpi sem opis ującym sys tern, po wier¬ 
szu ze słowem alternate. 

Aby używ ać dwóch nume rów te lef onu do sys temu p ablo, po win ieneś zmo dyf iko- 
wać je go opis w pli ku sys do na stępującej po sta ci: 

system pablo 
phone 123-456 

.. wpisy podobne do powyDszych ... 

alternate 

phone 123-455 

Dzwo niąc do pablo, uucico naj pierw uży wa nu me ru 12 3-456, a je żeli się nie do dzwo¬ 
ni, próbuje nu me ru al ter na ty w ne go. 

Wyznaczanieczasówdzwonienia 

Tay lor UUCP po sia da sze reg spo sobów wy zna cze nia go dżin, o kt órych są re ali zo- 
wane połączenia z systemem zdalnym. Możesz ich potrzebować ze względu na 
ogra ni cze nia sta wia ne przez sys tern zdał ny w go dzi nach ro bo czych lub po pro stu 
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by uniknąć godzin o wysokich cenach ro zmów. Za uważ, że zaw sze mo żli we jest 
ominięcie ograniczeń czasowych przez podaniewMcico opcji -S lub -/. 

Do myś lnie Tay lor UUCP nie po zwala na połączę nia o do woln ych go dżin ach, a więc 
musisz w pli ku sys wy mień ić ja kieś go dżiny. Je żeli nie dbasz o ogran icz enia cza sowę, 
możesz użyć w swo im pli ku sys opcji time z war toś cią Any. 

Naj prosts zym spo sob em na ogran icz enie go dżin dzwo nien ia jest dołączę nie wpi su 
t ime, a za nim ciągu skład ające go się z pól opis ujących dzień i go dzinę. Dzień może 
byćkombinacjąMo, Tu, We, Th, Fr, Sa i Su. Możesz ta kże użyć Any, Never lub Wk 
dla dni roboczych. Czas składa się z dwóch wartości w postaci 24-godzinnej,od¬ 
dzielonych myślnikiem. Określają one okres, w którym mogą być wykonywane 
połączę nia. Połączę nie tych leksemów jest za pis ywa ne bez spa cji po międ zy ni mi. 
Dowolne określenia dnia i godziny mogą być pogrupowane razem i oddzielone 
prze cink ami w na stęp ujący sposób: 
time MoWe0300-0730,Frl805-2200 

Ten przykład po kaz uje, że połączę nia mogą być re aliz owa ne w po nied ziałki i środy 
od 3:00 do 7:30 oraz w piątki od 18:05 do 22:00. Gdy pole opisujące czas obejm uje 
północ, po wiedzmy Mo 1830-0600, w rze czy w ist ości oznac za to po nied ziałek po- 
międ zy północą a szóstą ra no oraz po międ zy 18:30 i północą. 

Spe cjalne ciągi opisujące czas, Ne ver i Any, oznaczają odpowiednio, że połączę nia 
nie mogą być re aliz owa ne lub mogą być re aliz owa ne o do woln ej go dżin ie. 

UUCP Tay lora po sia da ró wni eż sze reg spe cjal nych lek semów, któ rych możesz uży¬ 
wać w opi sie cza su, jakNonPeak i Night. Te szczególne lek se my to od po wied nio 

skrótyodAny2300-0800,SaSu0800-1700 iAnyl800-0700,SaSu. 

Po le ce nief im eprzyj mu je opcjo nal nie dru gi ar gu ment opi sujący w mi nu tach czas po¬ 
wtarzania. Gdy próba nawiązania połączenia się nie powiedzie, uucico poczeka 
z wy ko na niem ko lej nej pr óby przez pe wien okres cza su. Na przykład gdy usta wisz 
czas po wta rza nia na 5 mi nut ,uucico bę dzie od ma wiać dzwo nie nia do zdał ne go sys- 
te mu przez 5 mi nut, po czy nająć od ostatniej nie uda nej próby. Do my śl ni euucico uży¬ 
wa sche ma tu wykład ni cze go, gdzie okres przed po nowną pr óbą zwię k sza się przy 
każdymkolejnym nie po wodzeniu. 

Po lec enie timegrade po zwala na po wiąza nie cz asów z mak sym alnym stop niem bu¬ 
for owa nia. Na przykład załóżmy, że we wpi sie s y s temmasz na stęp ujące po lec enia 
timegrade: 

timegrade N Wkl900-0700,SaSu 

timegrade C Any 

Takizapisoznacza,żezada nia o stop niu bu for owa nia C lub wy żs zym (z wy kle pocz¬ 
ta jest ko lejk owa na ze stop niem B lub C) zostaną przesłane po ze staw ieniu połączę 
nia, na tom iast gru py dys kus yjne (zwy kle za kol ejko wane ze stop niem N) są prze 
syłane tyl ko w no cy i w week endy. 

Podobniejak time, tak i fimegradeposiadatrzeciargumentopisującyprzerwęfwmi- 
nu tach) przed po no wie niem pr óby. 
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Jed nak są tu pew ne za strzeż enia co do stop ni bu for owa nia. Przede wszyst kim opcja 
timegrade dotyczy tylko tego, co wysyła twój system. System zdalny może wciąż 
prze syłać, co chce. Możesz użyć opcji call-timegrade, aby jaw nie zażądać wy syłania 
je dyn ie za dań o stop niu wy żs zym niż za dany, ale nie ma gwa ranc ji, że żąda nie to 
zo stan ie wysłucha ne*. 

Po dobn ie po le timegra de nie jest spraw dzane, gdy dzwo ni sys tern zdał ny, a więc 
wszel kie za dan ia za kol ejko wane dla nie go zo staną wysłane. Jed nak sys tern zdał ny 
może w jaw ny spo sób zażądać, aby two je uucico ogran iczyło się do pew nego stop nia 
buforowania. 

Iden ty f i ko wa nie do stęp nych u rządzeń po przez pli k port 

Plik port in for mu j euucico odo stęp nych por tach. Są to zwy kle por ty mo de mo we, ale 
obsługi wa ne są ta kże in ne ty py po rtów, na przykład bez po śred nie łącza sze re go we 
igniaz da TCP. 

Po dobn ie jak plik sys, tak i port składa się z od dzieln ych wp isów roz poc zynających 
się od słowa klu czow ego po r t, za którym na stęp uje na zwa por tu. Na zwa nie mu si 
być unik alna. Je żeli ist nieje kil ka por tów o tej sa mej na zwie, uucico bę dzie je spraw¬ 
dzać po ko lei, aż znaj dzie ten, który nie jest właśnie uży w any. 

Zaraz za poleceniemporf po winna wy stępować dyrektywa type wska żująca typ 
opis ywa nego por tu. Do pusze żalne ty pyto modem, di r e ct dla łączy bez poś rednich 
i t cp dla gniazd TCP. Je żeli bra kuje po lec eniaporf, do myś lnym ty pem jest mo dem. 

Tutaj omó wimy tyl ko por ty mo dem owe. Por ty TCP i łącza bez poś rednie są opisane 
dalej. 

W przy pad ku port ów moderno wych i bez po śred nich, w dy rek ty wie devicemusisz 
po dać urządzę nie, przez które chcesz dzwo nić. Zwy kle jest to na zwa spe cjal ne go pli¬ 
ku urządzę nia w kata logu /dev, na przykład /dev/ttySl. 

W przypadku modemu wpis port określa również, jakiego typu modem jest 
podłączo ny. Róż ne ty py mo demów muszą być od po wied nio skon fi gu ro wa ne. Na¬ 
wet mo de my, które de kia rują kom pa ty bil ność ze stan dar dem Hay esa, nie zaw sze są 
na pra w dę kom pa ty bil ne ze sobą. Dla te go mu sisz po in f or mo wa ćuucico , jak za ini cjo- 
wać modem i zadzwonić na żądany numer. UUCP Taylora przechowuje opis 
wszyst kich urządzeń w pli ku dial. Aby użyć któ regoś z nich, mu sisz po dać je go na¬ 
zwę za po mocą po le ce nia dialer. 

Cza sem bę dziesz chciał uży wać mo de mu na różne spo so by, w za le żno ści od te go, 
do ja kie go sys te mu dzwo nisz. Na przykład niektóre star sze mo de my tracą orien ta- 
cję, gdy szyb kie mo de my pr ób ują się łączyć z pręd ko ścią 56 kilobitów na se kun dę. 
Po pro stu zry wają połączę nie, za miast ne go cjo wać na przykład pręd kość 9600 bitów 
na se kun dę. Gdy wiesz, że ośro dek drop uży wa ta kich mało in te li gent nych mo de 
mów, mu sisz in a czej skon fi gu ro wać swój mo dem, gdy tam dzwo nisz. Po trze bu jesz 
do dat ko we go wpi su w pli ku port, który wska zu je in ny typ urządzę nia dzwo niące 


Je żeli w sys te mie zdał nym działa UUCP Tay lo ra, to żąda nie zo sta nie wysłucha ne. 
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go. W tym przypadku możesz nadać nowemu portowi inną nazwę, jak se- 
riall-slowi użyć dy rek ty wypór t we wpi sie dla sys te mu dr op w pli ku sys. 

Por ty naj le piej roz ró żnia się na pod sta wie obsługi wa nych przez nie pręd ko ści. Na 
przykład dwa opi sy por tów dla po wy ż szej sy tu acji mogłyby wyglądać tak: 


# NakWell 
port 
type 
device 
speed 
dialer 

# NakWell 
port 
type 
device 
speed 
dialer 


modem; podliczenie 
seriali # 

modem # 

/dev/ttySl # 

115200 # 

nakwell # 

modem; poDDczenie 


seriali 

modem 

/dev/ttySl 

9600 

nakwell-slow 


przy duDej prDdkoDci 
nazwa portu 
port modemu 
to jest COM2 
obsDugiwana prDdkoDD 
normalny typ 
przy niskiej prDdkoDci 
nazwa portu 
port modemu 
to jest COM2 
obsdugiwana prDdkoDD 
nie próbuj szybkiego poddczenia 


W opisie systemu drop jako nazwa portu widnieje teraz seriali, ale będzie 
obsługiw ane tył ko żąda nia połączę nia z pręd koś cią 9600 bitów na sekundę, uucico 
automatycznie użyje dru giego por tu. Wszyst kie po zos tale ośrodki, które łączą się 
z pręd ko ścią 115200 bitów na sekundę, będą używały pierw szego wpi su. Do myś lnie 
bę dzie uży w any pierw szy wpis, który obsługuje od pow iednią pręd kość. 


Jakdzwo nić pod za da ny nu mer używając pli ku dial 


Plik dial opi su je, w ja ki sp osób są uży wa ne róż ne ty py urządzeń. Tra dy cyj nie UUCP 
roz ma wia z urządzę nia mi, a nie z mo de ma mi, po nie waż daw niej zwy kle do stęp ne 
było jedno (drogie!) urządzenie dzwoniące, które obsługiwało cały zestaw mo¬ 
demów. Obec nie wię k szość mod e mów ma wbu do waną obsługę dzwo nie nia, a więc 
to rozróżnienie prze sta je być wa żne. 

Niezależnie od tego, czy mamy do czynienia z urządzeniami dzwoniącymi, czy 
z mo de ma mi, ró żne ich ty py mogą wy ma gać od mień nej kon fi gu ra cji. Ka żdy z nich 
możesz opi sać w pli ku dial. Wpi sy w dial roz po czy nają się od po le ce nia dialer za wie 
rającego na zwę urządzę nia. 

Naj waż niejszy wpis po dialer to dia log mo demu opis y wa ny przez po lec enie chat. Po- 
dobn ie do dia logu lo gow ania, składa się z wie lu ciągów znaków, które uucico wy¬ 
syła do urządzę nia dzwo niące go, oraz z od pow iedzi, kt óry ch oczek uje. Zwy kle jest 
on uży w any do ustaw ienia mo demu w ja kimś zna nym sta nie i wy kręć enia nu meru. 
Poniższy przykładowy wpis dialer pokazuje typowy dialog modemu dla 
modemów kom pat ybi lnych ze stan dard em Hay esa: 


# NakWell 

dialer 

chat 

chat-fail 

chat-fail 

chat-fail 

dtr-toggle 


modem; podliczenie przy duDej prDdkoDci 
nakwell # nazwa urzDdzenia 

"" AT&F OK\r ATH1E0Q0 OK\r ATDT\T CONNECT 
BUSY 
ERROR 

NO\sCARRIER 

true 


Dia log mo de mu roz po czy na się od " czy li ocze ki wa ne go ciągu pu ste go. uucico w tej 
sy tu acji wysyła na tych miast pierw sze po le ce nieAT &F. Jest to po le ce nie Hayesa usta- 
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wiające mo dem w kon fi gu ra cji fa brycz nej. uucico na stęp nie cze ka, aż mo dem wy ś le 
OK, i prze ka zu je na stęp ne po le ce nie, kt óre z ko lei wyłącza lo kal ne echo i tym po dob- 
ne. Po ode bra niu z mo de mu ko lej ne go OK, uucicow y syła po le ce nie dia lo gu ATDT. 
Sekwencja unikowa \T w ciągu znaków zo sta je zastąpiona nu me rem telefonu od- 
czy ta nym z wpi su w pli ku sys. uucico na stęp nie cze ka, aż mo dem zw róci ciąg CON- 
NE C T, któ ry sy gna li zu je, że połączę nie z mo de mem zdał nym zo stało po my śl nie na¬ 
wiązane. 

Cza sem mo dem om nie udaje się połączyć z sys tern em zdał nym. Na przykład je żeli 
dru gi sys tern akur at z ki mś się łączy i li nia jest za jęta. W ta kiej sy tua cji mo dem zwra¬ 
ca błąd wskazujący powód niepowodzenia. Dialogi modemowe nie są w stanie 
obsłużyć ta kich błęd ów. uucico da lej cze ka na oczek iwa ny ciąg znaków, aż upłynie 
za dany czas. W pli ku log UUCP w ta kiej sy tua cji po kaz any jest je dyn ie ko mun ikat 
„ti med out in chat script" (upłynął czas oczek iwa nia w skryp cie dia log owym), za¬ 
miast wska zan ia kon kretn ego po wodu. 

Jednak UUCP Taylora pozwala na poinformowanie uucico o tych komunikatach 
błęd ów. Służy do te go po lec enie chat-fail pokazane powyżej. Gdy uucico wykryje 
ciąg nie udan ego dia logu pod czas dia logu mo dem owe go, prze rywa połączę nie i lo¬ 
guje ko mun ikat do pli ku log UUCP. 

Ostat nie po le ce nie w po ka za nym po wy żej przykładzie in for mu je UUCP, by przed 
roz po czę ciem dia lo gu mo de mo we go przełączyło li nię ste rującą DTR ( DataTerminal 
Ready). Normalnie urządzenie szeregowe uaktywnia DTR, gdy proces otworzy 
urządzę nie, aby po in for mo wać podłączo ny mo dem, że ktoś chce z nim się połączyć. 
Funk cjadtr-toggledeakty wu je DTR, czeka chwilę i akty wu je go ponownie. Wie 
le mod emów mo żna skon fi gu ro wać tak, by re ago wały na de ak ty wa cję DTR przez 
rozłączę nie, prze jś cie do trybu wpro wa dza nia po le ceń czy wy ze ro wa nie się*. 

Prze syłanie UUCP przez TCP 

Uży wa nie UUCP do prze syłania da nych przez TCP może brzmieć ab sur dal nie, ale 
nie jest to zły po mysł, sz czególnie gdy prze syłasz du że ilo ści da nych, jak gru py dys¬ 
kusyjne Usenetu. Na łączach opartych o TCP grupy są przeważnie wymieniane 
przez protokół NNTP, w którym żądane artykuły są przesyłane pojedynczo, bez 
kompresji lub innej optymalizacji. Choć technika ta sprawdza się dla dużych oś¬ 
rodków o kil ku rów noległych połączę niach grup, to nie jest zbyt lu bia na przez małe 
ośrod ki, które od bie rają swoje gru py przez re la ty w nie wol ne połączę nia, jak ISDN. 
Te ośrodki zwykle będą chciały połączyć jakość TCP z zaletami wysyłania grup 
w du żych por cjach, któ re mogą być kom pre so wa ne i prze syłane bez nad mia ro wych 
in for ma cji. Zwy kle prze syła się je za po mocą UUCP przez TCP. 

W pli ku sys okreś łasz sys tern wy woływany przez TCP w na stęp ujący sposób: 

system gmu 

address news.groucho.edu 

time Any 

port tcp-conn 

chat ogin: vstout word: clouseau 

* Ni ekt óre mo de my tego nie lubią i co ja kiś czas się za wie szają. 
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Po le ce ni eaddress za wie ra ad res IP ho sta lub je go pełną na zwę do me nową. Od po wied- 
ni wpis port wyglądałby tak: 


port 

type 

service 


tcp-conn 

tcp 

540 


Wpis ten mówi, że połączę nie TCP po winno być używ ane, gdy wpissys za wiera ciąg 
tcp-conn i że uucico po winno pr óbow ać łączyć się z por tern 540 ho sta zdał nego 
w sie ci TCP. Jest to do myś lny port usługi UUCP. Za miast nu meru por tu, w po le ce 
niu seruicemożesz po dać ta kże je go sym boi iczną na zwę. Od pow iadający jej nu mer 
por tu bę dzie po szuk iwa ny w pli ku /etc/services. Po wszechn ie używ aną nazwą dla 
usług UUCP jest uucpd. 

Używaniepołączeniabez pośredniego 

Załóżmy, że uży wasz bez po śred nie go łącza przy ko mu ni ka cji sys te mu vstout z sys- 
te mem tiny. Po dob nie jak w przy pad ku mo de mu, mu sisz stwo rzyć w pli kusys od¬ 
powiedni wpis opi sujący sys tern. Po le ce nie port iden ty fi ku je port, do którego jest 
podłączo ny sys tern tiny: 

system tiny 

time Any 

port directl 

speed 38400 

chat ogin: cathcart word: catch22 

W pliku port mu sisz opis ać port sze reg owy dla połączę nia bez poś redni ego. Wpis 
di a 1 e r jest zby teczny, po niew aż nie ma po trzeby dzwo nien ia: 

port directl 

type direct 

speed 38400 

device /dev/ttySl 


Kontrola dostępu do funkcji UUCP 


UUCP jest sys te mem dość ela stycz nym. Dla te go trzeba kon tro lo wać uwa żnie do stęp 
do je go funk cji, aby za po biec ce lo wy m lub przypadko wym nadużyciom.Podsta wo- 
we funk cje UUCP, którymi po wi nien się zająć ad mi ni stra tor, to wy ko ny wa nie zdal¬ 
nych po le ceń, prze syłanie plików i prze ka zy wa nie. UU CP Tay lo ra po z wa la na pe w- 
ne ogra ni cze nie działania ka ż dej z funk cji, któr ym mu si się pod porządko wać zdal¬ 
ny host UUCP. Sta ran nie dob raw szy pra wa do stę pu, ad mi ni stra tor UUCP może być 
pe w ny, że host jest bez piecz ny. 

Wykonywaniepolecenia 

Za da niem UUCP jest przy pil no wa nie ko pio wa nia pl ików z jed ne go sys te mu do in¬ 
ne go i żąda nie wy ko na nia pew nych po le ceń na ho stach zdał nych. Oczy wiś cie ty ja¬ 
ko administrtor chciałbyś kontrolować pra wa przy dzie la ne in nym sys te mom, po- 
nie waż po zwa la nie im na wy ko na nie w two im sys te mie do wol ne go po le ce nia zde 
cy do wa nie nie jest do brym po myslem. 
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Domyślniejedynymipoleceniami,jakieUUCPTaylorapozwalawykonywaćinnym 
sys te mom na two im kom pu te rze, s ąrmail i rn ews, po wszech nie uży wa ne do wy mia- 
ny pocz ty i grup dys ku syj nych Usene tu przez UUCP. Aby zmie nić ze staw po le ceńdla 
jakiegoś sys te mu, możesz użyć słowa kluczowe go commands wplikusys. Możesz 
też ogra ni czyć ście żkę po szu ki wań je dy nie do katalogów za wie rających do zwo lo ne 
polecenia, używając dyrektywy command-path. Na przykład możesz pozwolić 
systemowi pablo na wykonywanie, oprócz pole ceńrmail i rnews, także po lecenia 
bsmtp *: 

system pablo 

commands rmail rnews bsmtp 


Przesyłanieplików 


UUCP Tay lo ra po zwa la ró wni eż do sto so wać prze syłanie plików doklad nie do two¬ 
ich po trzeb. Możesz wyłączyć prze syłanie plików do i z ja kie goś sys te mu. Po pro stu 
ustaw reąuestna war tośćn o, a sys tern zdał ny nie bę dzie w sta nie ani od bie rać, ani 
wy syłać żad ny ch pli ków z two je go sys te mu. Po dob nie możesz za ka zać uży t ko w ni- 
kom prze syłania plików doizsystemu,usta wiaj ąc opcję t r a n s f e r na n o. Do my śl- 
nie użytkownicy obu systemów, lokalnego i zdalnego, nie będą mogli przesyłać 
plików w żadną stro nę. 

Po za tym możesz skon fi gu ro wać ka ta lo gi, do których i z których mogą być ko pio- 
wa ne pli ki. Zwy kle ogra ni czasz do stęp zdał nych syst emów tyl ko do jed ne go drze 
wa kata logów, ale wciąż po zwa łasz użyt kow ni kom na wy syłanie plików z ich ka ta- 
lo gu ma cie rzy ste go. Prze wa żnie zdał ni użyt kow ni cy mają pra wo po bie rać pli ki je 
dy nie z pu blicz ne go ka ta lo gu UUCP ,/var/spool/uucppubUc. Jest to tra dy cyj ne miej sce 
pu blicz ne go udo stęp nia nia pli ków, po dob nie jak ser we ry FTP w In ter ne cie**. 

UUCP Tay lora udos tępnia czte ry różne po lec enia do kon f ig uro wan ia kat alo gów do 
wy syłania i od bier ania pl ików. Są to: local-send - okreś la li stę ka talogów, z kt órych 
użytk ownik może wy syłać pli ki przez UUCP, local-recewe - okreś la li stę katalogów, 
z których użytkownik może pobierać pli ki, remote-send oraz remote-receiue, które 
działają anal ogi cznie, ale dla żądań z sy stemów zdał nych. Przyj rżyj się po niżs zemu 
przykładowi: 

system pablo 


local-send 

local-receive 

remote-send 

remote-receive 


/home ~ 

/home ~/receive 
~ !~/incoming !~/receive 
-/incoming 


Pole ce nie local-send po zwa la użyt kow ni kom twoje go ho sta na wy syłanie do wol nych 
pl ików z ka ta lo gu po niż ej /home i z pu blicz ne go ka ta lo gu UUCP do sys te mu pablo. 
Pole ce nie local-recewe po zwa la na umiesz cza nie plików w do stęp nym do pu blicz ne 


* bsm tp jest uży wa ne do do star cza nia pocz ty w sys te mie wsa do wym SMTP. 

** Możesz użyć zna ku tyl dy (~), by odwołać się do ka ta lo gu pu blicz ne go UUCP, ale tyl ko w plikach kon fi- 
gu ra cyj nych UUCP. Poza nimi tyl da zwy kle ozna cza ka ta log ma cie rzy sty użyt kow ni ka 
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go za pi su ka ta lo gu receiue w uucppublic lub w do stęp nych do pu blicz ne go za pi su ka¬ 
ta logach po niż ej /home.Dyrektywaremote-send po zwala systemowi pablo na żąda¬ 
nie pl ików z ka ta lo gu /var/spool/uucppublic, po za pli ka mi za war ty mi wka ta lo gach 
incoming i receróe. Jest to sygnalizowane uucico przez poprze dze nie nazw katalogów 
wy krzyk ni ka mi. Ostatni wiersz po zwa la p ablo na umiesz cza nie plików w ka ta lo gu 
incoming. 

Głów nym pro blem em przy prze syłaniu plików za po mocą UUCP jest to, że pli ki są 
od bier ane tyl ko do katalogów, które są pu bliczn ie do stępne do za pisu. Może to sku¬ 
sić nie których uży tkowników do za staw iania pułapek na in nych. Jed nak nie da się 
rozwiązać tego problemu inaczej, niż przez całkowite zablokowanie przesyłania 
plików do UUCP. 

Przekazywanie 

UUCP oferuje mechanizm pozwalający na inicjację przesyłania plików w twoim 
imię niu. Załóżmy na przykład, że twój sys tern ma do stęp nucp do sys te mu seci, ale 
niemadostępudosystemuuchile.Zapośrednictwemwspomnianegomechanizmu 
możesz po pro sić seci, aby ode brał dla cie bie pli ki zuchile i wysłał je do two je go sys- 
te mu. Mo żna to zro bić po niż szym po le ce niem: 

$ uucp -r seci!uchile!~/find-ls.gz -/uchile.fileś.gz 

Ta tech ni ka prze ka zy wa nia za dań przez kil ka sys temów jest na zy wa na po pro stu 
przekazywaniem (ang. forwarding). W twoim systemie UUCP możesz ograniczyć 
usługę prze ka zy wa nia do kil ku hos tów, o któ rych wiesz, że nie na biją ci ogrom ne go 
ra chun ku te le fo nicz ne go przy ściąga niu naj now szych pli ków źródłowych X11R6. 

Do myś lnie UUCP Tay lora w ogó le wyłącza prze kaz ywa nie. Aby je włączyć dla ja¬ 
kiegoś systemu, możesz użyć polecenia forward Polecenie to wypisuje listę oś¬ 
rodków, które mogą żądać od ciebie przekazania zadań do nich i od nich. Na 
przykład ad min ist rator UUCP sys temu seci mógłby do dać na stęp ujące wier sze do 
pli ku sys , by po zwoi ić sys tern owi pablo na ściąga nie pl ików z uchile: 

######################## 

# pablo 

system pablo 

forward uchile 

######################## 

# uchile 

system uchile 

forward-to pablo 

Wpis forward-to dla uchile jest potrzebny po to, by wszystkie odbierane pliki 
były prze kaz ywa ne dopablo . W prze ciwn ym ra zie UUCP by je od rzucało. Wpis ten 
wy kor zyst u je od m ianę po lec enia forward po zwal ającą uchile na wy syłanie plików 
tyl ko do pablo przez seci, a nie w in ny sp osób. 

Aby zezwolić na przekazywanie do dowolnego systemu, użyj specjalnego słowa 
klu czowego AN Y (wy mag ane du że li tery). 
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Konfigurowaniesystemu do przyjmowania połączeń 
komutowanych 

Je śli chcesz skon fi gu ro wać s wój sys tem tak, aby przyj mo wal połączę nia ko mu to wa- 
ne, mu sisz ze zwo lic na lo go wa nie do two je go por tu sze re go we go i do sto so wać ni- 
ekt óre pli ki sys te mo we do obsługi kont UUCP. Omówimy to w tym pod roz dzia le. 

Za pew nie nie kont UUCP 

Na początek musisz skonfigurować konta użytkownika, które pozwolą zdalnym 
ośrod kom lo go wać się do two je go sys te mu i re ali zo wać połączę nie UUCP. Mu sisz 
stwo rzyć od dzielną na zwę dla ka ż de go sys te mu, któ ry bę dzie się z tobą łączył. Przy 
konfigu ro waniukon ta dlasys te mupablo możesz wy korzy stać nazwę użytkownika 
Upablo. Nie ma tu taj żad nych usta lo nych za sad two rze nia nazw użytkowników, 
a więc mogą być do wol ne; wy god niej jest, je żeli na zwa użyt kow ni ka wiąże się w ja¬ 
kiś sposób z nazwą ho sta zdał ne go. 

W przy pad ku syst emów, które wdzwa niają się przez port sze re go wy, zwy kle do da¬ 
jesz kon ta w pli ku letc/passwd. Do brze jest umie ścić wszyst kie iden ty fi ka to ry UUCP 
w spe cjal nej gru pie, na przykład uuguest. Ka ta log macierzysty kont po winienbyć 
ustawiony na publiczny katalog bufora /var/spool/uucppublic. Powłoka logowania 
mu si być usta wio na na uucico. 

Aby obsłużyć sys te my UUCP łączące się do cie bie przez TCP, mu sisz skon fi gu ro wać 
inetd tak, aby obsługi wał połączę nia przy chodzące na portuu cp. W tym ce lu do da je 
się po niż szy wiersz do pli ku /etc/inetd.conf*: 

uucp stream tcp nowait root /usr/sbin/tcpd /usr/lib/uucp/uucico -1 

Opcj a -1 po wo duje, żeuucico prze pro wa dza własną proce du rę u wie rzy tel nia nia. Py ta 
o na zwę użyt kow ni ka i hasło, tak jak stan dar do wy pro gram login , ale wy ko rzy stu je 
swoją prywatną bazę haseł, zamiast /etc/passzvd. Prywatny plik haseł nazywa się 
/etc/uucp/passwd i za wie ra polączo ne w pa ry: na zwy uż ytkowników i hasła: 

Upablo IslaNegra 
Ulorca co'rdoba 

Plik ten mu si być własnoś cią uucp i mieć pra wa do stępu 600. 

Czy ta baza danych wygląda na tyle sensownie, byś chciał jej używać także do 
zwykłego logowania przez łącza szeregowe? Oczywiście, w pewnych sytuacjach 
możesz. Po trzeb uje sz je dyn ie pro gramu getty, któ ry w przy padku użyt kown ików 
UUCP ma mo żliw ość wy wołania uucico za miast /bin/login**. Wy wołanie uucico wy¬ 
gląda tak: 

/usr/lib/uucp/uucico -1 -u uOytkownik 


* Za uważ, że tcpd zwy kle ma tryb 700, a więc mu sisz go wywoływać jako użyt kow nik root, a nie uucp. 
tcpd jest omówione dokład niej w roz dzia le 12, Ważnefunkcjesieciowe. 

** Do brze na da je się do tegomgettyGer ta Do er in ga. Działa na ró żn ych piat for mach, włącznie z SCO Unix, 
AIX, Su nOS, HP-UX i Linuk sem. 
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Opcja -u mówi, by uucico uży wał za da nej na zwy użyt kow ni ka, za miast o nią py tac*. 
Aby za bez pie czyć two ich uży tkowników UUCP przed dzwo niący mi, kt órzy mogli¬ 
by po dać fałszywą na zwę sys te mu i przejąć całą pocz tę, po wi nie neś do dać po le ce nia 
called-login do każdego wpisu systemu w pliku sys. Wyją śnią my to w następnym 
podrozdziale. 

Za bez pie cza nie się przed kan cia rza mi 

Główn ym pro ble mem UUCP jest to, że dzwo niący sys tern może po dać fałszywą na¬ 
zwę. Po zalogowaniu się system po da je na zwę, ale ser wer nie ma spo so bu na jej 
spraw dze nie. Dla te go ata kujący mógłby za lo go wać się na swo je kon to UUCP, uda¬ 
wać kogoś innego i pobrać pocztę przeznaczoną dla innego ośrodka. Jest to 
szczególnie pro ble ma tycz ne, gdy ofe ru jesz lo go wa nie ano ni mo we, gdzie hasło jest 
publicz niedostępne. 

Musisz bro nić się przed oszu sta mi. Każdy sys tern po wi nien uży wać ja kiejś na zwy 
użytkownika podanej w called-login w pliku sys. Przykład owy wpis mógłby 
wyglądać tak: 

system pablo 

... typowe opcje... 
called-login Upablo 

Re zul tat jest ta ki, że gdy sys tern się za lo gu je i twier dzi, że na zy wa się pablo, uucico 
spraw dza, czy za lo go wał się ja ko Upablo . Je żeli nie, sys tern dzwo niący jest wyłącza¬ 
ny, a połączenie - zrywane. Dopisywaniepolecenia called-login do każdego wpisu 
sys te mo we go w two im pli ku sys po win no we jść ci w krew. Wa żne jest, byś zro bil to 
dla wszystkich system ów z two je go pli ku sys, bez wzglę du na to, czy kie dy kol wiek 
będą dzwo niły do two je go ośrod ka, czy nie. Dla tych, które nig dy nie dzwo nią, po- 
wi nie neś usta wić called-login na jakąś całko wi cie fałszywą na zwę użyt kow ni- 
ka, jak neverlogsin. 

Bądź pa ra no ikiem: spraw dza nie licz ni ka połączeń 

In nym sposobemochronyswojegosystemuiwykry wa nia os zus tó w jest uży cie licz¬ 
nika wywołań. Po ma ga on za bez pie czyć się przed in tru za mi, kt órzy w ja kiś sp osób 
zdo by li hasło i mogą się za lo go wać do two je go sys te mu UUCP. 

Spraw dza nie licz ni ka połączeń po le ga na tym, że obie ma szy ny śledzą licz bę zre ali- 
zo wa nych do tej po ry połączeń. Licz nik jest zwię k sza ny przy ka żdym połączę niu. 
Po za lo go wa niu się dzwo niący wy syła sw ój ko lej ny nu mer, a od bior ca po równ uje 
go z własnym nu me rem. Je żeli się nie zga dzają, pró ba połączę nia ko ńczy się od¬ 
mową. Je żeli pierw sza licz ba zo sta nie wy bra na lo so wo, in truz bę dzie miał pro blem, 
by po praw nie zgadnąć ko lej ny nu mer połączę nia. 

Jed nak spraw dza nie licz ni ka połączeń to coś wię cej. Na wet je żeli ja kiś mądra la wy¬ 
kryłby twój nu mer połączę nia i two je hasło, do wie działbyś się o tym. Gdy ata kujący 
dzwo ni do two je go węzła pocz to we go UUCP i krad nie pocz tę, nu mer porządko wy 


Tej opcji nie ma w wer sji 1.04. 
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w wę ź le zwię k sza się o je den. Na stęp nie, gdyf yza dzwo nisz to two je go węzła i sp ró- 
bujesz się za lo go wać, zdał n euucico odmo wi ci, po nie waż nu me ry nie będą się zga¬ 
dzały! 

Je żeli włączyłeś spraw dza nie licz ni ka połączeń, po wi nie neś przeglądać re gu lar nie 
pliki log, poszukując komunikatów błędów, które informują o potencjalnych ata¬ 
kach. Je żeli tw ój sys tern od rzu ca nu mer połączę nia ode bra ny z sys te mu dzwo niące 
go, uucico umiesz cza w pli ku log ko mu ni kat o tre ści „Out of sequ en ce cali re jec ted" 
(od rzu co no połączę nie o złym nu me rze porządko wy m). Je żeli tw ój sys tern zo sta nie 
od rzu co ny przez wę zeł ze wzglę du na zły nu mer, w pli ku log poją wi się ko mu ni kat 
„Hands ha ke fa iled (RB AD SEQ)" (Uzgad nia nie się nie po wiodło). 

Aby włączyć spraw dza nie licz ni ka połączeń, do daj po niż sze po le ce nie do opi su sys te mu: 

# wEDczenie sprawdzania licznika poEDczeEl 

seąuence true 

Po nadto mu sisz stwo rzyć plik za wier ający sam nu mer połączę nia. UUCP Tay lora 
prze chow uje ten nu mer w pli ku .Seąuencew ka tal ogu bu for owym ho sta zdał nego. 
Plik musibyć własnoś cią użytk owni kauucp i mu si mieć pra wa 600 (to zna czy pra wa 
czytania i za pisu tyl ko dla użytk owni ka uucp). Naj lep iej jest za inic jować ten plik 
wcześniej uzgodnioną war toś cią lo sową. Pro sty spo sób na utwór zenie te go pli ku 
jest na stępujący: 

# cd /var/spool/uucp/pablo 

# echo 94316 > .Sequence 

# chmod 600 .Sequence 

# chown uucp.uucp .Sequence 

Oczywiście zdalny ośrodek musi także włączyć sprawdzanie licznika połączeń 
i roz począć od te go sa mego nu meru co ty. 

AnonimoweUUCP 

Gdy byś chciał dać ano ni mo wy do stęp UUCP do swo je go sys te mu, mu siałbyś naj¬ 
pierw stwo rzyć spe cjal ne kon to zgod nie z tym, co wspo mnie liś my wcze śniej. Po- 
wszechnietworzysiękontoonazwieihaśleuucp. 

Po nad to mu sisz skon fi gu ro wać kil ka opcjibez pie cze ństwa dla nie zna nych sys te m ów. 
Na przykład możesz za ka zać im wy ko ny wa nia pew nych po le ceń w twoim sys te¬ 
rnie. Jed nak nie możesz usta wić tych parametrów w pli ku sys, po nie waż po le ce nie 
system wy ma ga poda nia na zwy sys te mu, a tej nie znasz. UUCP Tay lo ra roz wiązu¬ 
je ten pro blem przez po le ce nie unknown. Może być ono uży wa ne w pli ku config do 
okre śle nia do wol ne go po le ce nia, kt óre zwy kle po ja wia się w opi sie sys te mu: 

unknown remote-receive ~/incoming 

unknown remote-send ~/pub 

unknown max-remote-debug nonę 

unknown command-path /usr/lib/uucp/anon-bin 

unknown commands rmail 

Utrud nia to nie zna nym sys te mom po bie ra nie pl ików z ka ta lo gu pub i wrzucanie 
plik ów do ka ta lo gu incoming w /var/spool/uucppublic. Na stęp ny wiersz po wo du je, że 
uucico bę dzie igno ro wać wszel kie żąda nia od systemów od noszące się do lo kal ne go 
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włączenia debugowania. Ostatnie dwa wiersze zezwalają nieznanym systemom 
na wy wołanie rmail. Jed nak poda na ście żka ze zwa la uucico szu kac po le ce nia rmail 
tył ko w ka ta lo gu pry wat ny m anon-bin. To ogra ni cze nie po zwa la na udo stęp nie nie 
specjalnegopolecenia rmail, które na przykład przekazuje całą pocztę superużyt 
kow ni ko wi do spraw dze nia. Po zwa la to ano ni mo wym uży t kow ni kom na do tar cie 
do właści cie la sys te mu, ale jed no cze śnie za po bie ga wy syłaniu pocz ty do in nych oś¬ 
rodków. 

Aby włączyć anon imo we UUCP, mu sisz w pli ku config po dać przy najmn iej jedną 
dyrektywę unknown. W prze ciwn ym ra zi euucico od rzuci wszyst kie nie znane sys¬ 
temy. 

Protokoły niskiego poziomu w UUCP 

Aby wy ne go cjo wać z drugą stroną ste ro wa nie se sją i prze syłanie plików, uucico uży¬ 
wa ze sta wu stan dar do wych komu nik at ów. Czę sto na zy wa się to pro tokołem wysokie¬ 
go po zio mu . W cza sie fa zy ini cja cyjnej i fazy za wie sza nia są one wy syłane w po sta ci 
pro sty ch ciągów znaków .Jednakwczasiefazyrzeczywistegoprzesyłaniauży wa ny 
jest dodatkowo protokół niskiego poziomu, przeważnie przezroczysty dla wyż¬ 
szych po z iomów. Pr o tokół ten da je pew ne do dat ko we mo żli wo ści, jak spraw dza nie 
błędów w wy syłanych da nych w przy pad ku za wod nych łączy. 

Przegląd protokołów 

UUCP jest uży wa ne z róż ny mi ty pa mi połączeń, jak łącza sze re go we, TCP lub cza¬ 
sem na wet X.25. Ko rzyst ne jest prze syłanie UUCP w pro to kołach stwo rzo nych spe¬ 
cjał nie dla niż szych pro to kołów sie cio wych. Po nad to kil ka im ple men ta cji UUCP za- 
wie ra ró żne pro to koły, któ re ro bią z grub sza to sa mo. 

Protokoły można podzielić na dwie kategorie: strumieniowe i pakietowe. Protokoły 
stru mień iowe prze syłają plik w całości, ob lic zając e went ual nie je go su mę kon trolną. 
W ta kiej sy tua cji pra wie nie ist nieje nad miar owo ść, ale wy mag ane jest nie zaw odne 
połączę nie, po niew aż naj mniejs zy błąd po wod uje, że cały plik mu si być przesłany 
po nown ie. Te pro tokoły są prze waż nie używ ane w połączę niach TCP, ale nie na dają 
się do użytku w li niach te lef oni cznych. Choć nowoczesne modemy do skon ale ko- 
ryg ują błędy, nie są idea lne. Nie ma też możliwości wy krycia błęd ów wy stęp ujących 
po międ zy two im kom put erem a mo dem em. 

Na to miast pro to koły pa kie to we dzielą plik na kil ka rów nych czę ści. Ka żdy pa kiet 
jest wy syłany i od bie ra ny nie za le żnie, ob li cza na jest su ma kon tro 1 na, a do nadaw cy 
zwra ca ne jest po twier dze nie. Aby uspraw nić działanie tych pro to kołów, oprą co wa 
no pro to koly prze suw ne go okna (ang. sliding-window protocols), któ ry ch za da niem 
jest przy ję cie pew nej ogra ni czo nej licz by (okno) za ległych po twier dzeń w do wol nej 
chwi li. Znacz nie skraca to czas przestoju uucico w cza sie prze syłania. Re la ty w nie du¬ 
ża nad mia ro wość w por ówn an iu z pro to kołami stru mie nio wy mi po wo du je, że pro- 
to koły pa kie to we są nie efek ty w ne we współpra cy z TCP, na to miast są ide al ne dla li¬ 
nii te le f o nicz nych. 
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Roz sze rze nie ście żki danych ta kże nie jest bez zna cze nia. Cza sem nie mo żli we jest 
wysyłanie znaków 8-bitowych przez łącze szeregowe. Na przykład połączenie 
mogłoby pro wa dzić do uprosz czo ne go ter mi na la ser we ra, któ ry ob ci na ostat ni bit. 
Gdy prze syłasz 8-b it owe zna ki przez 7-b it owe połączę nie, muszą być one ma sko wa- 
ne. W naj gor szym przy pad ku cy to wa nie dwu krot nie zwię k sza licz bę prze syłanych 
da nych, choć mo żna to wyrównać kom pre sją re ali zo waną sprz ę to wo. Li nie, kt óre 
mogą przesyłać dowolne znaki 8-bitowe, są zwykle nazywane 8-bit clean. Takie 
właśnie są wszyst kie połączę nia TCP oraz wię k szość połączeń mo de mo wych. 

UUCP Taylora w wersji 1.06 obsługuje szereg protokołów UUCP. Najważniejsze 
z nich to: 

S 

Jest to naj pop ula rnie jszy pro tokół i po win ien być ro zum iany przez prak tyczn ie 
wszyst kie uutico. Gruntownie sprawdza błędy i doskonale nadaje się do szu¬ 
miących li nii te lef oni cznych. g wy maga połączę nia 8-b ito wego. Jest pro tokołem 
pa kietowym, wykorzystującym tech nikęprzesuwnegookna. 
i 

Jest to pa kiet owy pr otokół dwu kier unko wy, któ ry może wysyłać i od bier ać pli ki 
w tym sa mym cza sie. Wy maga połączę nia w pełnym du pleks ie i 8-b ito wej ścież¬ 
ki da nych. Ak tua lnie wspólpra cuje tył ko z UUCP Tay lora. 

t 

Ten pro tokół jest prze znać zony do sto sow ania w połączę niach TCP lub in nych 
sieciach naprawdę wolnych od błędów. Wykorzystuje 1024-bajtowe pakiety 
i wy maga połączę nia 8-b ito wego. 

e 

Ten pro tokół w za sad zie działa tak samo jak t. Główna ró żni ca po lega na tym, że 
e jest protokołem strumieniowym i dlatego nadaje się jedynie do stosowania 
w nie zawodny ch sie ciach. 

/ 

Ten protokół jest przeznaczony do stosowania w niezawodnych połączeniach 
X.25. Jest to pro tokół strumieniowy i wy maga 7-b ito wej ścieżki da nych. Zna ki 
8-b ito we są ma sko wa ne, co może po wod ować, że pr oto kół niebę dzie efekt ywny. 
G 

Jest to wersja protokołuj im plem ento wana przez 4. wy da nie systemu V. Jest 
obsługiw any równ ież przez inne wer sje UUCP. 

a 

Ten pro tokół jest po dobny do pro tokołu ZMODEM. Wy maga połączę nia 8-b iło¬ 
wego, ale ma skuje pew ne zna ki ste rujące, jak XON i XOFF. 

Stroje nie pro to kołu trans m i sji 

Wszyst kie pro to koły to le rują pew ne róż nice w roz mia rach pak iet ów, cza sach ocze 
ki wa nia itp. Zwy kle do my śl ne war to ści działają do brze w stan dar do wych wa run¬ 
kach, ale mogą nie być opty mai ne w two jej sy tu acji. Na przykład protokół g wy ko- 
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rzy stu je roz mia ry okien od 1 do 7 i roz mia ry pak iet ów będące po tęgą 2 począwszy 
od 64 do 4096. Je żeli twoja li nia te le fo nicz na zwy kle jest tak zakłóć ona, że gu bi wię cej 
niż 5 pro cent wszyst kich pakiet ów, po wi nie neś zmniej szyć roz miar pa kie tu i okna. 
Z dru giej stro ny przy bar dzo do brych li niach te le fo nicz nych, po twier dza nie każde 
go 128-bajtowegopakietu może być mar no traw stwem, a więc może war to wte dy 
z wię kszyćrozmiarpa kie tu do 512 lub na wet 10 24 ba jtó w. Wię k szość pli k ó w bi nar- 
nych zawartych w dysty bu cjach Linuk sa ma do my ślną war tość roz mia ru okna 7 
ipakietul28ba jtów. 

UUCP Tay lo ra po zwa la do stroić pa ra me try po le ce memprotocol-parameter umiesz cza- 
nym w pli ku sys. Na przykład, aby usta wić roz miar pa kie tu dla pro to kołu g na war¬ 
tość 512 w cza sie połączę nia z pablo , mu sisz do dać: 

system pablo 

protocol-parameter g packet-size 512 

Pa ram etry, kt óre mo żna zmie niać, i ich na zwy nie są jed nak owe dla wszyst kich pro¬ 
tokołów. Ich pełną li stę znaj dziesz w do kum enta cji dołączo nej do ko du źr ódlowego 
UUCP Tay lora. 

Wy b ór okre ślo nych pro to kotów 

Nie ka żda im ple men ta cja uucico ro zu mie wszyst kie pro to koły, a więc w f a zie wstęp 
ne go uzgad nia nia oba pro ce sy muszą usta lić je den ws polny pr otokół. Nad rzęd ny 
system uucico oferuje podległemu listę obsługiwanych protokołów, wysyłając 
Pprotlist,z któ rej sys tern pod legły mu si coś wy brać. 

W oparć iu o typ używ ane go por tu (mo dem, TCP lub połączę nie bez poś rednie), uuci¬ 
co two rzy do myś Iną li stę pro tokołów. Dla mo demu i połączę nia bez poś redni ego li¬ 
sta ta zwy kle za wie ra protokoły!, a, g, G i j. Dla połączeń TCP li sta za wieraf, e, i, a, g, 
G, j i /.Taką do myś Iną li stę wolno zmie nić za po mocą po lec eniaprotocols, któ re mo¬ 
żna umieś cić w opis ie zaró wno sys temu, jak i por tu. Na przykład mógłbyś do kon ać 
edyc ji pli ku port two jego mo demu i zmie nić go tak: 

port seriali 

protocols igG 

Tym spo so bem wszel kie przy chodzące i wy chodzące przez ten port połączę nia będą 
uży wały i, g lub G. Je żeli sys tern zdał ny nie obsługu je żad ne go z nich, połączę nie się 
niepo wiedzie. 

Rozwiązywanie problemów 

Ten pod roz dział opi su je, co może się nie udać przy połączę niu UUCP, i pod po wia- 
da, gdzie szu kać błędu i jak go po pra wić. Po ka zu je my tu naj czę ściej spo ty ka ne pró¬ 
bie my, ale wystąpić mogą też in ne - po pro stu nie wszyst kie zdołaliś my tu po ka zać. 

Je żeli masz pro blem, włącz de bug owa nie przez -xall i przyj rżyj się wy nik owi w pli¬ 
ku Debug w ka tal ogu bu fora. Plik ten po win ien ci pomóc szyb ko roz poz nać pro blem. 
Czę sto po mocne jest włączę nie głośnika mo demu, gdy nie na wiązu je on połączę nia. 
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W przy padku modę mów kom pat ybi lnych ze stan dard em Hay esa, możesz włączyć 
głośnik, do dając ATL1M1 OK w dia logu mo demu w pli ku dial. 

Przede wszyst kim po wi nie neś spraw dzić, czy wszyst kie pra wa do stę pu do plików 
są po praw ne. uucico po win no mieć pra wo se tu id uucp, a wszyst kie pli ki w ka ta lo¬ 
gach /usr/lib/uucp, /varlspool/uucp i /var/spool/uucppublic powinny być własnością 
uucp. Istnie je ta kże kil ka pli ków ukry tych w ka ta lo gu bu fo ro wym. One ta kże muszą 
być własno ścią uucp*. 

Gdy je steś już pew ny, że pra wa do stę pu do wszyst kich plików są po praw ne, a nadal 
masz pro ble my, możesz zacząć bar dziej dosłow nie trak to wać ko mu ni ka ty o błęd ach. 
Przyj rżyj my się te raz kil ku naj czę ściej spo ty ka nym błęd om i pro ble mom. 

uuci co wciąż mówi „Wrong Time to Cali” 

Oznaczato,żeprawdopodobniewopisiesystemuwpliku sys nie podałeśpolece nia 
time ze szczegółami do tyczący mi dzwo nie nia lub za pi sałeś je w ta ki sp osób, że nie 
mo żna ich wy ko rzy stać. Je żeli nie ma rozkładu dzwo nie nia, uucico uzna je, że do sys- 
te mu nie mo żna dzwo nić. 

uuci co zgłasza, że ośro dek jest j uż za blo ko wa ny 

Ozna cza to, że uucico wy kry wa w ka ta lo gu/var/spool/uucp plik blo kujący dla sys te 
mu zdalnego. Plik blokujący może być pozostałością po poprzednim połączeniu, 
któ re uległo awa rii lub zo stało prze rwa ne. In ne wytłuma cze nie to in ny pro cesuuci- 
co, który prób ował za dzwo nić do sys te mu zdał ne go i za trzy mał się w skryp cie dia le 
go wym lub z inne go po wo du. 

Aby na pra wić ten błąd, za po mocą sy gnału za wie sze nia za trzy maj wszyst kie ak ty w ne 
proce sy uucico dla da ne go ośrod ka i usuń wszel kie po zo stałe po nich pli ki blo kujące. 

Możesz podłączyć się do ośrod ka zdał ne go, ale skrypt dia lo go wy nie działa 

Przyj rżyj się ko mu ni ka to wi otrzy manę muz ośrod ka zdał ne go. Je żeli jest on uszko- 
dzo ny, może to ozna czać próbie my z pręd ko ścią. W prze ciw nym ra zie po twier dź, że 
naprawdę zgadza się z tym, czego oczekuje twój skrypt dialogowy. Pamiętaj, że 
skrypt dia lo go wy roz po czy na od ciągu ocze ki wa ne go. Je żeli ode brałeś mo nit lo go- 
wa nia i wysłałeś swoją na zwę, ale nig dy nie do stałeś py ta nia o hasło, wstaw opóź¬ 
nienie przed jej wysłaniem lub na wet mię dzy li te ra mi. Może działasz za szyb ko dla 
swojegomodemu. 

Twój mo dem nie dzwo ni 

Jeżeli twój modem nie pokazuje, że linia DTR została uaktywniona, gdy uucico 
dzwo nił, urządzę ni euucico może nie być po praw ne. Je żeli tw ój mo dem roz po zna je 
DTR, spraw dź pro gra mem ter mia la, że możesz pi sać do mo de mu. Je żeli to działa, 
włącz echo opcją \E na początku dia lo gu z mo de mem. Je żeli mo dem nie powtórzy 


* To zna czy pli ki o na zwach roz po czy nających się od krop ki. Ta kie pli ki nor mai nie nie są wyświetlane 
przez po le ce nie fe. 
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two je go po le ce nia w cza sie dia lo gu, spraw dź, czy pręd kość li nii jest od po wied nia. 
Je żeli zo ba czysz echo, spraw dź, czy wyłączyłeś od po wie dzi mo de mu lub usta wiłeś 
kody. Zweryfikuj poprawność samego skryptu dialogowego. Pamiętaj, że aby 
wysłać do mo de mu od wrót ny uko śnik mu sisz na pi sać dwa ta kie no śni ki. 

Twój mo dem pr obuje dzwo nić, ale nie uda je mu się wy jść na zewnątrz 

Wstaw opóźnienie w numerze telefonu, szczególnie jeżeli musisz wybierać spe¬ 
cjalną se kwen cję, aby wy jść z sie ci te le fo nicz nej fir my na ze wnątrz. Upew nij się, że 
używasz poprawnego typu urządzenia, ponieważ niektóre sieci telefoniczne 
obsługują tyl ko je den typ dzwo nie nia. Spraw dź dwa razy nu mer te le fo nu, by mieć 
pew ność, że jest on po praw ny. 

Lo go wa nie uda je się, ale uzgad nia nie nie 

Może to ozna czać wie le róż nych pro blemów. Wy nik pli ku log po wi nien ci coś pod po¬ 
wie dzieć. Zo bacz, ja kie pro to koły of e ru je zdał ny ośro dek (wy syła on w cza sie uzgad¬ 
nia nia ciąg znaków P protlist). Aby uzgad nia nie się po wiodło, obie stro ny muszą 
obsługi wać przy najm niej je den ws polny pr otokół, a więc spraw dź, czy to ro bią. 
Jeżelisys tem zdał ny wy syła RLCK, oznacza to, że w ośrod ku zdał nym, do którego 
je steś już podłączo ny przez inną li nię, za le ga przedaw nio ny plik blo kujący. W ta kiej 
sy tu acji po proś ad mi ni stra torasystemuzdalnegoousu nię cie pli ku. 

Je żeli zdalny system wysyła RBADSEQ, to ma włączo ne zli cza nie połączeń z tobą, 
ale licz nik się nie zga dza. Je żeli wy syła RLOGIN, nie masz pra wa za lo go wać się z da¬ 
nym ID. 

Pli kilogidebugowanie 

Gdy kom pi lu jesz pa kiet UUCP, by wy ko rzy sty wał Tay lo row skie lo go wa nie błęd ów, 
masz tyl ko trzy pli ki log znaj dujące się w ka ta lo gu bu fo ro wym. Głów ny plik log no si 
na z węLogi za wie ra wszel kie in for ma cje o ze sta wio nych połączę niach i przesłanych 
pli kach. Ty po wy f rag ment wygląda (po nie wiel kim prze for ma to wa niu wceludopa- 
so wa nia do stro ny) tak: 

uucico pablo - (1994-05-28 17:15:01.66 539) Calling system pablo (port cua3) 

uucico pablo - (1994-05-28 17:15:39.25 539) Login successful 

uucico pablo - (1994-05-28 17:15:39.90 539) Handshake successful 

(protocol 'g' packet size 1024 window 7) 
uucico pablo postmaster (1994-05-28 17:15:43.65 539) Receiving D.pabloB04aj 

uucico pablo postmaster (1994-05-28 17:15:46.51 539) Receiving X.pabloX04ai 

uucico pablo postmaster (1994-05-28 17:15:48.91 539) Receiving D.pabloB04at 

uucico pablo postmaster (1994-05-28 17:15:51.52 539) Receiving D.pabloX04as 

uucico pablo postmaster (1994-05-28 17:15:54.01 539) Receiving D.pabloB04c2 

uucico pablo postmaster (1994-05-28 17:15:57.17 539) Receiving D.pabloX04cl 

uucico pablo - (1994-05-28 17:15:59.05 539) Protocol 'g' packets: sent 15, 
resent 0, received 32 

uucico pablo - (1994-05-28 17:16:02.50 539) Cal complete (26 seconds) 
uuxqt pablo postmaster (1994-05-28 17:16:11.41 546) Executing X.pabloX04ai 
(rmail okir) 

uuxqt pablo postmaster (1994-05-28 17:16:13.30 546) Executing X.pabloX04as 
(rmail okir) 
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uuxqt pablo postmaster (1994-05-28 17:16:13.51 546) Executing X.pabloX04cl 
(rmail okir) 

Drugi ważnym plikiem log jest Stats, który zawiera statystyki dotyczące prze¬ 
syłanych plików. Czę ść Stats od pow iedz ialna za po wyż sze trans fery wygląda tak 
(znów wier sze po dziel ono, aby zmie ścić je na stro nie): 

postmaster pablo (1994-05-28 17:15:44.78) 

received 1714 bytes in 1.802 seconds (951 bytes/sec) 
postmaster pablo (1994-05-28 17:15:46.66) 

received 57 bytes in 0.634 seconds (89 bytes/sec) 
postmaster pablo (1994-05-28 17:15:49.91) 

received 1898 bytes in 1.599 seconds (1186 bytes/sec) 
postmaster pablo (1994-05-28 17:15:51.67) 

received 65 bytes in 0.555 seconds (117 bytes/sec) 
postmaster pablo (1994-05-28 17:15:55.71) 

received 3217 bytes in 2.254 seconds (1427 bytes/sec) 
postmaster pablo (1994-05-28 17:15:57.31) 

received 64 bytes in 0.590 seconds (110 bytes/sec) 

Trze ci plik to Debug. Za pis y wa ne są w nim in form acje po mocne w de bug owa niu. Je 
żeli używ asz de bug owa nia, upewn ij się, czy plik ten ma pra wa do stępu 600. W za¬ 
leżności od wybranego trybu debugowania może zawierać nazwę użytkownika 
i hasło używ ane do połączę nia ze zdał nym sys tern em. 

Je żeli masz ja kies na rzę dzia do przegląda nia pl ików log w tra dy cyj nym for ma cie uży¬ 
wanym przez implementacje kompatybilne z HDB, możesz również skompilować 
UUCP Tay lo ra tak, by ge ne ro wało lo gi w sty lu HDB. To kwe stia włączę nia opcji w pli¬ 
ku config.h w cza sie kom pi la cji. 




Prze syłanie pocz ty elekt roni cznej po zos taje naj bardziejwidocznymza stos owa niem 
sie ci, począwszy od jej wy nal ezi enia. U za ran ia e-ma ii był prostą usługą, która po¬ 
legała na kopiowaniu pliku z komputera na komputer i dodawaniu go do pliku 
skrzynkipocztowej od biorcy. Idea wciąż jest ta sa ma, choć sta le roz wij ająca się sieć ze 
złożony mi za sad ami ru tingu i ro snącą liczbą wia dom ości wy musiła po wstań ie bar¬ 
dziej skom plik owa nych sche matów działania. 

Oprać owa no różne stan dardy wy miany pocz ty. Ośrodki win tern ecie przy jęły stan¬ 
dard wyłożony w RFC-822 i roz wij any w dal szych RFC. Jest to nie za le żny od kom¬ 
putera sposób na przesyłanie przez pocztę elektroniczną po prostu wszystkiego, 
włącznie z gra fiką, pli kami dź więk owy mi i ze staw ami zn aków spe cjal nych*. CCITT 
zdefiniowała inny standard, X.400, który jeszcze funkcjonuje w dużych firmach 
i organizacjach rządo wych, ale stop nio wo wy cho dzi z użycia. 

Dla systemów Unix stworzono całkiem sporą liczbę programów do przesyłania 
pocz ty. Je den z naj le piej zna nych to sendmail, na pi sa ny przez Eri ca Ali ma na z Uni- 
wer sy te tu Ka li for nij skie go w Ber ke ley. Erie Ali man obec nie udo stęp nia sendmail w 
ramachkomercyjnegoprzedsięwzięcia, ale program po zostajedarmowy. sendmail 
jestdostarczanyjako stan dar do wy agent pocz to wy w wie ludys trybu cjach Linuksa. 
Konfiguracjęsendmaffo opi su je my w roz dzia le 18, Sendmail. 

Linux wy korzy stujerównieżExima, na pisa ne go przez Phi li pa Ha ze la z uni wersy te 
tu w Cambridge. Konfigurację Eximaopisuje my w roz dzia le 19, Exim. 

W porównaniu z sendmailem, Exim ma raczej skromne możliwości. Wielu ośrodkom 
po trzeb ującym pocz ty jed nak wy star czają. 

Za równo Exim, jak isendmail obsługują ze stawpl ików konfi gu ra cyj nych, któ ry mu si 
być do sto sowa ny do po trzeb sy s te mu. Po za in for ma cja mi, kt óry ch wy ma ga pod sys¬ 
tem pocz ty (jak na z wa ho sta lo kał ne go), ist nie je wie le par ametrów, któ re mo żna do¬ 


je żeli nie wie rzysz, prze czy taj RFC-1437. 
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sto so wy wać. Przy pierw szy m ze tknię ciu głów ny plik kon fi gu ra cyj ny sendmaila jest 
bar dzo trud ny do zro zu mie nia. Wygląda jak by twój kot zdrzemnął się na kia wia tu¬ 
rze, na ci sną wszy kia wisz [Shift]. Pli ki konfigu ra cyj ne Exima sąbar dzie j uporządko- 
wa ne i łatwiej sze do zro zu mie nia. Jed nakExim nie obsługu je bez po śred nio UUCP, 
lecz tyl ko ad re sy do me no we. Może te raz nie jest to już tak nie do god ne, jak nie gdyś. 
Większości ośrodkówograniczenia Exima nie przeszkadzają. Jednakkonfiguracja 
obu programów jest równie cza sochłon na. 

W tym roz dzia le po wie my, co to jest pocz ta elek tro nicz na i z ja ki mi za gad nie nia mi 
sty ka się jej ad mi ni stra tor. Roz działy 18 i 19 za wie rają in struk cje do tyczące kon fi gu- 
racji sendmaila i Exima. Powinny one wystarczyć do uruchomienia mniejszych 
ośrod ków, ale oczy wiś cie opcji jest du żo wię cej i możesz spę dzić wie le go dżin przed 
s wo im kom pu te rem na kon f i gu ro wa niu wy my śl ny ch f unk cji. 

W ty m roz dzia le kró tko omó wimy usta wie ni eelma - po pu lar ne go agen ta pocz to we go 
użyt kow ni ka dla systemów unik so wych, ta kże dla Linuk sa. 

Wię cej in for ma cji na te mat pocz ty elek tro nicz nej w Linuksie znaj dziesz w Electronic 
Mail HOWTO, autorstwa Guylhema Aznara*; ten dokument jest regularnie roz¬ 
syłany na listędys ku syjną comp. os ,linux.answers.P akie ty dys trybu cyj neelma, Exima 
i sendmaila także zawierają szczegółowe dokumentacje, które powinny odpowie 
dzieć na wię k szość py tań na te mat ich kon fi gu ro wa nia, a my w od po wied nich roz¬ 
działach poda jemy od nie sieniadotejdokumentacji.Jeżelipo trze bu jesz ogólnych in 
for ma cji na te mat pocz ty elek tro nicz nej, przej rżyj różne RFC. 

Co to jest wiadomość pocztowa 

Mówiąc bar dzo ogó ln ie, wia do mość pocz to wa składa się z tre ści i spe cjal nych da¬ 
nych ad mi ni stra cyj nych okre ślających od bior cę, sp osób prze syłania, i tym po dob ne 
in for ma cje, kt óre ró wni eż wi dzisz, gdy pa trzysz na nor malną ko per tę li stu. 

Te da ne ad min ist racyj ne pa sują do dwóch ka teg orii. W pierw szej znaj dują się wszel¬ 
kie da ne, właściwe dla spo sobu prze syłania, jak ad res nadaw cy i od biorcy. Dla tego 
nazywa się je kopertą. Można je zmieniać przez oprogramowanie transportowe 
w cza sie prze kaz y wa nia wia dom ości. 

Dru ga ka teg oria to wszel kie da ne nie zbędne do obsłużeń ia wia dom ości, nie związa¬ 
ne z żadn ym szcz ególnym me chan izm em trans port owym, czy li te mat wia dom ości, 
li sta wszyst kich odbior ców i da ta wysłania wia dom ości. W wie lu sie ciach przy jęło 
się po przed zanie wia dom ości ty mi da nymi, a więc utwór zenie tak zwa nego nagłów¬ 
ka pocz ty. Jest on od dziel ony pu stym wier szem od treś ciwiadom ości**. 

Większość oprogramowania do przesyłania poczty w świecie Uniksa używa for¬ 
matu nagłówka zdefiniowanego w RFC-822. Pierwotnym celem tego dokumentu 
było okreś lenie stan dardu dla sie ci AR PAN ET, ale po niew aż z założę nia był to stan- 


* ZGuylhememmo żna się skon tak to wać pod adresem guylhem@danmark.linux.eu.org. 

** Do klien ta na le ży de cy zja o dołącza niu do wia do mo ści pli ku signature lub .sig, zwy kle za wie rającego 
in for ma cje o au to rze wraz z żar tem lub mot tem. Jest on od dzie lo ny od tre śd wia do mo śa wier szem za- 
wie rającym znak - i spa cję. 
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dard nie zal eżny od śród owi ska, łatwo zo stał za adapt owa ny do in nych sie ci, włącz¬ 
nie z wie loma sie ciami opart ymi na UUCP. 

Jednak RFC-822 jest najmniejszym wspólnym mianownikiem. W ostatnich latach 
wy myś łono no we stan dardy, aby po rad zić so bie z no wymi po trzeb ami, ta kimi jak 
szyfrowanie danych, międzynarodowy zestaw znaków i MIME (Multipurpose In¬ 
ternet MailExtensions), opis any m.in. w RFC-1341. 

We wszyst kich tych stan dar dach nagłów ek składa się z kil ku wier szy od dzie lo nych 
sekwencją końca wier sza. Wiersz składa się z na zwy po la w pierw szej ko lum nie 
i same go po la od dzie lo ne go dwu krop kiem i białym zna kiem. For mat i skład nia ka ż- 
de gopo la za leżą od na zwy po la. Po le nagłów ka mo żna prze no sic do na stęp ne go na 
we go wier sza, je żeli roz po czy na się on od białego zna ku, np. ta bu la to ra. Po la mogą 
po ja wiać się w do wol nej ko lej no ści. 

Ty powy nagłów ek pocz ty może wyglądać tak: 

Return-Path: <phlO@cus.cam.ac.uk> 

Received: ursa.cus.cam.ac.uk (cusexim@ursa.cus.cam.ac.uk [131.111.8.6]) 
by al.animats.net (8.9.3/8.9.3/Debian 8.9.3-6) with ESMTP id WAA04654 
for <terry@animats.net>; Sun, 30 Jan 2000 22:30:01 +1100 
Received: from phlO (helo=localhost) by ursa.cus.cam.ac.uk with local-smtp 
(Exim 3.13 #1) id 12EsYC-0001EeF-00; Sun, 30 Jan 2000 11:29:52 +0000 
Datę: Sun, 30 Jan 2000 11:29:52 +0000 (GMT) 

From: Philip Hazel <phl0@cus.cam.ac.uk> 

Reply-To: Philip Hazel <phl0@cus.cam.ac.uk> 

To: Terry Dawson <terry@animats.net>, Andy Oram <andyo@oreilly.com> 

Subject: Electronic mail chapter 
In-Reply-To: <38921283.A58948F2@animats.net> 

Messagę-ID: <Pine.SQL.3.96.1000130111515.5800A-200000@ursa.cus.cam.ac.uk> 

Zwy kle wszyst kie wymaga ne po la nagłów ka są ge ne ro wa ne przez in ter fejs pro gra- 
mu pocz to we go, ta kie go jak elm, pine, mush czy mailx. Jed nak nie które są opcjo nal ne 
i mogą być doda wa ne przez użyt kow ni ka. Na przyklade/m po zwa la edy to wać czę ść 
nagłówka poczty. Pozostałe są dodawane przez oprogramowanie przesyłające 
pocz tę. Je żeli zaj rzysz do pli ku lo kal nej skrzyń ki pocz to wej, możesz zo ba czyć, że 
każ da wia do mość jest po prze dzo na li nią „From" (uwa ga: bez dwu krop ka). Nie jest 
to nagłów ek RFC-822. Zo stał on wsta wio ny przez twój pro gram pocz to wy dla wy¬ 
go dy pro gra mu czy tające go wia do mo ści z two jej skrzyń ki. Aby uniknąć po ten cjal- 
nych pr obi emów z wier sza mi w tre ści wia do mo ści, któ re roz po czy nają się również 
od słowa „From", stan dar dową pro ce durą jestma sko wa nie ka ż de go ta kie go wy stąpie¬ 
nia zna kiem >. 

Oto zbiór po pul arny ch pól nagłów ków i ich zna czen ie: 

From: 

Za wie ra ad res pocz to wy nadaw cy i cza sem ta kże jego „praw dzi we na zwi sko". 
Formatowanebardzoróżnie. 

To: 

Jest to li sta ad resatów wia do mo ści. Li sta ad resów jest od dzie la na prze cin ka mi. 
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Cc: 

Jest to li sta ad resów e-ma il, na które zo sta nie wysłana ko pia „do wia do mo ści". 
Li sta ad resów jest od dzie la na prze cinka mi. 

Bcc: 

Jest to li sta ad resów e-ma il, na które zo sta nie wysłana ko pia „do wia do mo ści". 
Klu czo wa róż nica po mię dzy „Cc:" i „Bcc:" jest taka, że ad re sy wpi sa ne w „Bcc:" 
nie po ja wiają się w nagłówku do star czo nej wia do mo ści u żad ne go od bior cy. Jest 
to sposób na powiadomienie ad res at ów, że wysłałeś ko pie wia do mo ści do in¬ 
nych osób, bez mó wienia do kogo. Li sta ad resów jest od dzie la na prze cin ka mi. 

Subj ect: 

W kil ku słowach opisu jeża war tość pocz ty. 

Datę: 

Za wie ra datę i czas wysłania wia do mo ści. 

Reply-To: 

Okre śla ad res, na kt óry nadaw ca chce prze kie ro wać od po wie dż od bior cy. Może 
być to przy dat ne, je żeli masz kil ka kont, ale chcesz otrzy my wać ma sową pocz tę 
na tym, któr ego uży wasz naj czę ściej. To pole jest opcjo nal ne. 

Organization: 

Or ga ni za cjabędąca właści cie lem kom pu te ra, z któ re go po cho dzi wia do mość. Je 
żeli twój kom pu ter jest własno ścią pry watną, po zo staw to pole pu ste lub wstaw 
słowo „priva te" albo coś zupełnie bez sen su. To pole nie jest opi sa ne w RFC i jest 
całko wi cie opcjo nal ne. Niekt óre pro gra my pocz to we obsługują je bez po śred no, 
inne tego nie robią. 

Message-ID: 

Ciąg znaków wy ge ne ro wa ny przez pro gram do prze syłania pocz ty w sys te mie 
wyjściowym.Jesttounikalnyidentyfikatorwiadomości. 

Received: 

Każdy ośrodek, który przetwarza twoją wiadomość (włącznie z maszynami 
nadaw cy i od bior cy), wsta wia ta kie pole do nagłówka, po dając na zwę ośrod ka, 
ID wia do mo ści, czas i datę ode bra nia, z ja kie go ośrod ka wia do mość nadeszła i ja¬ 
kie oprogramowanie trans por to we zostało uży te. Te li nie po zwa łają ci prze śle 
dzić tra sę pocz ty i zgłosić re kia ma cję do od po wie dział nej osoby, je żeli coś poszło 
nie tak. 

X- cokolwiek: 

Żaden pro gram związany z pocztą nie po wi nien na rze kać na nagłówek, kt óry 
roz po czy na się od X- . Jest on uży wa ny do im ple men ta cji do dat ko wych funk cji, 
które nie zo stały jesz cze uwzglę d nio ne w RFC lub nig dy nie będą. Na przykład 
ist niał kie dyś bar dzo duży ser wer list pocz to wych dla Linuk sa, który po zwa lał 
okre ślić, z ja kim kanałem chcesz się połączyć, przez wsta wie nie ciągu znak ów 
X-Mn-Key : i na zwy kanału. 
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Jak jest dostarczana poczta 

W za sa dzie pocz tę bę dziesz pi sał, uży wając in ter fej su pocz to we go, ta kie go jak mail 
czy mailx,albobar dziej wy rafinowanych programów, ta kich jakmutt, tkrat czy pine. 
Programy te są nazywaneagentamipocztowymi użytkownika (ang. mail user agents), 
w skrócie: MUA. Gdy wy da jesz po le ce nie wysłania wia do mo ści, pro gram in ter fej su 
wwiększościprzypadkówprzekazujejąinnemuprogramowi-doręczycie lo wi.Są 
to tak zwane agenty przesyłania wiadomości (ang. mail transport agents), w skrócie: 
MT A. W wię k szo ści sys t emów tosamoMTAjestuży wa ne do do star cza nia za równo 
pocz ty lo kał nej, jak i zdał nej. Zwy kle jest wy woły wa ne ja ko/usr/sbin/sendmail lub ja¬ 
ko /usr/lib/sendmail w sys te mach nie zgod nych z FSSTND. W sys te mach UUCP nie 
jest ni czym nie zwykłym fakt, że do star cza nie jest obsługi wa ne przez dwa od dziel ne 
programy: rmail dla pocz ty zdał nej i Imail dla pocz ty lo kal nej. 

Lokalne dostarczanie poczty jest oczywiście czymś więcej niż dołączeniem przy¬ 
chodzącej wia dom ości do skrzyń ki pocz tow ej od biorcy. Zwy kle lo kalne MTA ro¬ 
zum ie aliasy (kon fig uro wane po to, aby ad resy od biorcy wska zywały na in ne ad¬ 
resy) i prze kaz y wa nie (prze kier owy wan ie pocz ty uży tk owni ka w in ne miej sce). Pa 
za tym wiadomości, które nie mogą zostać do stare zonę, zwy kle muszą być odbite 
(ang. bounced), to zna czy zwr ócone do nadaw cy wraz z in form ację o błędzie. 

W przy padku do stare zania zdał nego, oprog ramo wan ie trans port owe za leży od ty¬ 
pu połączę nia. Pocz ta wę drująca przez sieć TCP/IP zwy kle używa pro tokołu SMTP 
(SimpleMail TransferProtocol) , któ ry jest opis any w RFC-821. SMTP ma do stare zać 
pocz tę bez poś rednio do kom put era od biorcy, ne goc jując trans fer wia dom ości z de 
monem SMTP strony zdalnej. Obecnie obsługę poczty w firmach organizuje się 
w ten sposób, że two rzy się ho sty, kt óre przej mują całą pocz tę dla adresatów z fir my, 
a na stęp nie kie rują ją do wska zan ego od biorcy. 

W sie ciach UUCP pocz ta zwy kle nie jest do star cza na bez po śred nio, lecz jest prze ka zy 
wa na do ho sta do ce lo we go przez sze reg sys temów po śred nich. Aby wysłać wia da 
mość przez łącze UUCP, MTA po stro nie nadaw cy zwy kle wy ko nu je po le ce niermail 
na sys te mie prze ka żującym, uży wając w tym ce lu uux, i przekazuje wiadomość na 
standardowewejście. 

Po niew a żuux jest wy woły wane od dzieln ie dla ka żd ej wia dom ości, może znacz nie 
obciążać główne huby pocztowe oraz zaśmiecać kolejki buforowe UUCP setkami 
małych plików zajmujących nieproporcjonalnie wiele miejsca na dysku*. Dlatego 
nie któ re MTA po zwalają ci zbie rać kil ka wia dom ości dla sys temu zdał nego w je den 
plik wsadowy. Plik wsadowy za wiera też po lec enia SMTP, które zwy kle wy daje 
host lo kal ny, je żeli było użyte bez poś rednie połączę nie SMTP. Na żywa się to wsa¬ 
dowe SMTP lub BSMTP. Da lej plik wsa dowy jest prze kaz y wa ny do pro gramu rsmtp 
lub bsmtpw sys tern ie zdał nym, który prze twar za da ne we jśc iowe pra wie tak sa mo, 
jak by to było nor malne połączę nie SMTP. 


To dla te go, że prze strzeń dys ko wa jest zwy kle alo ko wa na w blo kach po 1024baj ty. A więc na wet kil ku- 
baj to wa wia domość zaj mu je pełny ki lobajt. 




306 


Roz dział 17: Pocz ta elek tro nicz na 


Adresy e-mail 

Ad re sy e-ma il skład ają się przy najm niej z dwóch czę ści. Jed na czę ść to na zwado me¬ 
ny poczto we), która ostatecznie zostanie przetłumaczona na host adresatalubjakiś 
host przyj mujący pocz tę w je go imię niu. Dru ga czę ść to uni kał na na zwa użyt kow ni- 
ka. Może to być je go na zwa lo go wa nia, rze czy wi ste na zwi sko, po stać „Imię Na zwi- 
sko" al bo do wol ny alias, który zo sta nie przetłuma czo ny na na zwę użyt kow ni ka lub 
li stę uż ytkowników. In ne sche ma ty ad re so wa nia, jak X.400, uży wają bar dziej ogó 1- 
nego ze sta wu „at ryb utó w", uży wa nych do po szu ki wa nia ho sta ad re sa ta na ser we rze 
usług katalogowychX.500. 

To, jak ad resy e-ma il są in terp reto wane, za leży w du żym stop niu od ty pu sie ci. Nas 
interesuje, jak sie ci TCP/IP i UUCP in terp retują ad resy e-ma il. 

RFC-822 

Ośrod ki in ter ne to we sto sują stan dard RFC-822. Jest to do brze zna ny wszystkim za- 
pi s: nazwa _użytkownika@host.domena , gdzie host.domena to pełna na zwa do me no wa 
ho sta. Po prawna na zwa zna ku od dzie łające go te dwie czę ści to „com mer ciał at", ale 
wy god niej czy tać go ja ko „at". Ta ki za pis nie okre śla tra sy pro wadzącej do ho sta do¬ 
celowego. Ru ting wia do mości jest obsługi wa nyprzezmechanizmy,któreopiszemy 
wkrótce. 

Z RFC-822 bę dziesz się sta le spo ty kał, je żeli masz ośro dek podłączo ny do In ter ne tu. 
Jegozastoso wa nie wy cho dzi po za pocz tę i obej mu je też in ne usługi, ta kie jak gru py 
dyskusyjne. To, jak RFC-822 jest używane w grupach dyskusyjnych, omawiamy 
w roz dzia le 20, Grupy dyskusyjne. 

Daw ne for ma ty pocz to we 

W pier wot nym śro do wi sku UUCP po wszech nie sto so wa na była na stę pująca po stać 
ad re su:ścieżka!host!użytkownik, gdzie ścieżka opi sy wała ko lej ność ho stów, przez któ¬ 
re wia do mość mu siała prze jść, aby osiągnąćlzosf do ce lo wy. Ta kon struk cja jest na ży¬ 
wa nawykazemtrasowania (ma też zwy cza jową na zwę an gielskątwzg patii, od po tocz¬ 
nej nazwy wykrzyknika hang). Obec nie wie le sie ci opar tych na UUCP sto su je się do 
RFC-822 i ro zu mie ad re sy opar te na do me nach. 

Inne sieci wciąż inaczejrozumieją adresowanie. Na przykład sie ci opar te na DEC net 
wy korzy stu ją dwa dwu kropkijakoseparatorwadresieopostaci liostr.użytkoiunik*. Stan¬ 
dard X.400 wy ko rzy stu je zu pełnie in ny sche mat, opi sując od bior cę parą atry bu t-war¬ 
tość, jak np. kraj i fir ma. 

W sie ci Fi do Net ka żdy użyt kow nik jest iden ty fi ko wa ny przez kod ty pu 2:320/204.9 
skład ający się z czte rech liczb ozna czających stre fę (2 to Eu ro pa), sieć (320 to Pa ryż 
i oko li ce), wę zeł (lo kał ny hub) i punkt (PC in dy wi du al ne go użyt kow ni ka). Ad re sy 
Fi do Net mogą być od wzo ro wa ne na ad re sy stan dar du RFC-822. Przykład po wy ż- 


Je żeli pr obujesz do trzeć do ad re su DEC ne tu ze śro do wi ska RFC-822, możesz użyć za pi su „hostr.użyt kow- 
ntk"@przekaźnik, gdzie przekaźnikto na zwa zna ne go prze ka źnika po mię dzy In ter ne tem a DEC ne tern. 
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szy mógłby zostać za pi sanyjakoThomas.Quinot@p9.f204.n320.z2.fidonet.org. Nie mu¬ 
si my do da wać, że na zwy do men były łatwe do za pa mię ta nia. 

Łącze nie róż nych for matów pocz ty 

Wia do mo, że tam, gdzie spo ty ka się kil ka róż nych sta ndardów i pa ru mądrych lu¬ 
dzi, będą oni szu kac spo so bu na połączę nie róż nych sys temów, tak by mogły ze sobą 
współpra co wać. W re zul ta cie ist nie je sze reg gat ewayów, któ re łączą ze sobą ze dwa 
różne sys te my pocz to we, tak że pocz ta może być prze ka zy wa na z jed ne go do dru¬ 
giego. Przy łączeniu dwóch systemów krytycznym problemem jest adresowanie. 
Nie będzie my szczegółowo roz wa żać sa mych ga tewayów, ale przyj rzy my się kil¬ 
ku komplikacjom w ad re so wa niu, kt óre mogą wystąpić przy pew ne go ty pu ga te 
wayach. 

Zaj mij my się połączę niem dwó ch róż nych zap isów adr esów: wy ka zem tra so wa nia 
UUCP i RFC-822. Te dwa ty py ad re so wa nia nie współpra cują zbyt do brze. Załóżmy, 
że ma my ad res domenaA!użytkownik@domenaB. Nie jest ja sne, czy znak @ ma wy ż szy 
prio ry tet niż ście żka, czy od wrót nie: czy ma my wysłać wia do mość do domeny B i użyt- 
kownikadomenaAtużytkownik, czy może do domenyA, która prze każe wia do mość do 
użytkownika w domenieB. 

Ad resy łączące różne ty py op eratorów są na zyw aneadresamihybrydowymi. Właśnie 
po kaz any, najpowszechniejszy typ adresu jestzwy kle roz wiązywany przez na danie 
priorytetu zna kowi @, a nie ścież ce. W przy padku domenaA!użytkownik@domenaB, 
oznac za to wysłanie wia dom ości naj pierw do domenyB. 

Jed nak ist nie je spo sób na okre śle nie tras w RFC-822: <@domenaA,@domenaB:użytkow 
nik@domenaC> ozna cza ad resużytkownika w domenieC, gdzie domenaC jest osiągał na 
przez domenę A i domenęB (w tej ko lej no ści). Ten typ ad re su czę sto jest na zy wa ny ad- 
resem rutowanym źródłowo (ang. sourcerouted). Nie należy jednak polegać na jego 
działaniu, gdyż wer sje RFC opi sujące ru ting pocz ty za le cają, by ru ting źr odłowy 
wadresiepocztybył igno ro wa ny i by była po dej mowa na pr óba bez po śred nie go do- 
star cze nia wia do mo ści do zdał ne go ce lu. 

W przy padku ad resu z oper ato rem %: użytkownik%domenaB@domenaA, pocz ta naj¬ 
pierw jest wy syłana do domenyA, a znak % jest za mień iany na @. Ad res w tym mo¬ 
mencie ma po stać użytkownik@domenaB i program pocztowy przekazuje twoją 
wia dom ość dodomenyB, w kt órej jest do stare zana do poda nego użytkownika. Ten typ 
ad resu jest cza sem na zyw any„YeOłdeARPAnet Klud ge".Nieradzimygoużywać. 

Cza sa mi ist nieją pew ne wska za nia do uży wa nia róż ne go spo so bu ad re so wa nia. 
Zo staną one opi sa ne w ko lej nych pod roz działach. W śro do wi sku RFC-822 za le ca- 
my ad resy bez względ neposta ci uży tkownik@host .domena- ra czej trze ba uni kać in¬ 
nych fo rmatów. 
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Jak działa ruting poczty 

Pro ces prze kie ro wujący wia do mość do ho sta ad re sa ta jest na zy wa ny rutingiem. Po¬ 
za zna le zie niem ście żki od nadaw cy do od bior cy, uwzględ nia spraw dza nie błędów 
i może też uwzględ niać pręd kość i opty ma li za cję kosz tów. 

Ist nieje du ża ró żnica po międ zy spo sob em, w ja ki ośrod ek UUCP obsługuje ru ting, 
a spo so bem, w ja ki ro bi to ośrod ek in tern eto wy. W In tern ecie głów ne za dan ie kie 
row ania da nych do ho sta ad res ata (gdy już jest zna ny je go ad res IP) jest re aliz owa ne 
przez war stwę sie ciową IP, na tom iast w stre fie UUCP tra sa mu si być do stare zona 
przez użytk owni ka lub wy gen ero wana przez agenta prze syłające go pocz tę. 

Ruting pocz ty w In ter ne cie 

W Internecie konfiguracja hosta docelowego określa, czy jest realizowany jakiś 
szczególny ruting poczty. Domyślnie wiadomość jest dostarczana do celu nastę¬ 
pująco: stwier dza się, do ja kie go ho sta ma być wysłana i prze ka zu je mu bez po śred¬ 
nio. Wię k szość ośr o dków in ter ne to wych chce prze kie ro wy wać całą przy chodzącą 
pocz tę do ser we ra pocz to we go, który jest sta le do stęp ny, i jest w sta nie obsłużyć 
cały ruch i ro zesłać pocz tę lo kal nie. Aby rozgłosić tę usługę, ośro dek roz da je przez 
ba zę DNS tak zwa ne re kor dy MX dla swo jej lo kal nej do me ny. Sk rót MX po cho dzi od 
Ma ilExchanger( sys tern wy mie niający pocz tę); ter min ten ozna cza, że ser wer działa 
ja ko sys tern prze ka żujący pocz tę dla wszyst kich adresów zda nej do me ny. Re kor dy 
MX mogą być uży wa ne rów ni eż do obsługi ru chu na rzecz hostów, które sa me nie są 
podłączone doln ter netu, jaksie ci UUCPczy ho sty FidoNet, których pocz ta mu sibyć 
przekazy wanaprzezga te way. 

Rekordom MX zawsze jest przypisywany jakiś priorytet. Jest to dodatnia liczba 
całko wi ta. Je żeli ist nie je kil ka sys temów wy mie niających pocz tę dla jed ne go ho sta, 
agent trans por to wy bę dzie pr óbował wysłać wia do mość do ho sta wy mie niające go 
pocz tę, mające go naj niż szy prio ry tet. Je żeli mu się to nie uda, spróbuje użyć ho sta 
z wy ższą war to ścią. Je żeli sam host lo kal ny jest sys te mem wy mie niającym pocz tę 
dla ad re su do ce lo we go, może prze ka zy wać wia do mo ści tyl ko do hostów MX o niż¬ 
szym prio ry te cie niż je go własny. Jest to do bry sp osób na unik nię cie pę tli. Je żeli nie 
ist nie je re kord MX dla do me ny lub nie po zo stał ża den od po wied ni re kord, agent 
transportowy ma prawo sprawdzić, czy domena ma związany z nią adres IP, 
i próbuje do star czyć pocz tę bez po śred nio do te go ho sta. 

Załóżmy, że fir ma Fo obar, Inc. chce, żeby jej pocz ta była obsługiw ana przez ich korrt- 
put er mailhub . W DN S-ie bę dzie miała na stęp ujące re kordy MX: 

green.foobar.com IN MX 5 mailhub.foobar.com. 

Dzię ki te mu wia domo, że mailhub.foobar.com jest sys tern em wy mień iającym pocz¬ 
tę dla ho sta green.foobar.com i ma prio ryt et 5. Host, który chce do stare zyć pocz tę do 
joe@green.foobar.com, spraw dza DNS i znaj duje re kord MX wska żujący na mailhub. 
Je żeli nie ma re kordu MX o prio ryt ecie mniej szym niż 5, wia dom ość jest do stare zana 
do mailhub, kt óry z ko lei prze kaz uje ją do green. 
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Jest to tyl ko bar dzo pro sty przykład działania rekordów MX. Po wię cej in form acji na 
te mat ru tow ania pocz ty zaj rżyj do RFC-821, RFC-974 i RFC-1123 w In tern ecie. 

Ruting pocz ty w świe cie UUCP 

Ru ting pocz ty w sie ciach UUCP jest du żo bar dziej skom pli ko wa ny niż w In ter ne cie, 
po nie ważoprogramowanie trans porto we nierealizujegosamodzielnie. Kiedyś cała 
pocz ta była ad re so wa na za po mocą wy kazów tra so wa nia. Wy ka zy tra so wa nia wy¬ 
mię niały ho sty, przez które na le żało prze ka zy wać wia do mość; pos zc zególne ho sty 
oddzielanowykrzyknikami,azahostemdoce lowympodawanonazwęużytkowni- 
ka. Aby zaadresowaćlistdoużytkownikajanetnakomputerzemoria, użyłbyś ścieżki 
eek Iswim! moria tjanet. Wia do mość zo stałaby wysłana z twoje go ho sta do kom pu te ra 
eek, a stamtąd do swimi osta tęcz nie do moria. 

Oczy wistą wadą tej tech ni ki jest to, że wy ma ga ona od cie bie pa mię ta nia wie lu rze 
czy na te mat to po lo gii sie ci, szyb kich łączy itp., cze go nie wy ma ga ru ting w In ter ne 
cie. Co gor sza, je śli prze oczysz jakąś zmia nę w to po lo gii sie ci - jak usu nię te łącza lub 
ho sty - wia do mość nie doj dzie. Gdy byś zaś pr zeniósł się w in ne miej sce, z całą pew¬ 
no ścią mu siałbyś uak tu al nić te wszyst kie tra sy. 

Ru ting źr odłowy ma swo je uza sad nie nie, je śli ist nieją dwu znacz ne na zwy ho stów. 
Na przykład załóżmy, że są dwa ośrod ki o na zwie moria, je den w Sta nach Zjed no- 
czo nych, a dru gi we Frań cji. Do którego z nich od no si się ad resmoriatjanet ? Sta je się 
to jed no znacz ne do pie ro wte dy, gdy okre ślisz dro gę, którą mo żna do trzeć do moria. 
Pierw szym kro kiem do uni kał no ści nazw hostów było roz po czę cie pro jek tu ma po- 
wania UUCP. Jest on pro wa dzo ny w Rut gersUniver sity. Rejestru je się wszyst kie 
ofi cjal ne na zwy ho stów UUCP wraz z in for ma cją o ich sąsia dach UUCP i ich lo ka li¬ 
żą cji geo gra ficz nej. In for ma cje ze bra ne w ra mach pro jek tu ma po wa nia UUCP są pu- 
bli ko wa ne ja ko Ma py Usenetu, które z ko lei są re gu lar nie roz po wszech nia ne przez 
Usenet. Ty po wy opis sys te mu w ma pie (po usu nię ciu ko men ta rzy) wygląda tak*: 

moria 

bert(DAILY/2), 
swim(WEEKLY) 

Ten wpis mówi, że moria ma połączenie z bertem, z którym łączy się dwa razy 
dziennie, i ze swimem, z którym łączy się raz w tygodniu. Format pliku map 
omówimy za chwi lę bar dziej szc zegółowo. 

Ko rzy stając z in for ma cji za war tych w ma pach, możesz au to ma tycz nie ge ne ro wać 
pełne ście żki z two je go ho sta do ośrod ka do ce lo we go. Ta in for ma cja zwy kle jest za- 
pisywanawplik\ipaths,zwanymtakżebaządanychaliasówścieżek. Załóżmy, że z map 
wy ni ka, że możesz do trzeć do berta przez ernie. Alias ście żki dla ho stamoria wy ge 
ne ro wa ny na pod sta wie po przed niej szczątko wej ma py może wyglądać ja koś tak: 

moria ernie!bertImoria!%s 


Mapy dla ośrodkówzarejestrowanychwpro jek dema po wania UUCPsąrozpowszechnianeprzez gru¬ 
pę dys ku syjnącomp.mail.maps. Inne fir my mogą pu bli ko wać od dziel ne mapy dla własnych sie d. 
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Je żeli te raz po dasz ad res do cel owy janet@moria.uucp, twój MTA wy kor zysta po wyż¬ 
szą tra sę i wy śle wia dom ość do ernie z ad res em po stad bert!moria!janet. 

Tworze nie pliku paths na pod sta wie pełnych map Usene tu nie jest jed nak do brym 
po mysłem. In for ma cja w nich za war ta zwy kle by wa znie kształco na, a cza sa mi nie 
aktualna. Dlatego tylko kil ka główn ych hos tów uży wa pełnych świa to wych map 
UUCP do two rze nia swo ich pli ków paths. Wię k szość ośr o dków utrzy mu je in for ma- 
cje o rutingu jedynie dla ośrodków z ich sąsiedztwa, a pocztę przeznaczoną dla 
ośrodków, których nie mogą zna le źć w swo ich ba zach, wy syłają do mądrzej szych 
hostów, które mają pełnie jszą in for ma cję o ru tin gu. Ten sche mat na zy wa się ru tin- 
giemdoin te ligent nych hostów (ang. smart-hostrouting). Ho sty, kt óre mają tyl ko jed no 
łącze UUCP (tak zwane ośrodki brzegowe), same nie realizują żadnego rutingu. 
W pełni po le gają na mądrym ho ście. 

Łącze nie UUCP i RFC-822 

Jak dotąd naj lep szym le kar stwem na pro ble my ru to wa nia pocz ty w sie ciach UUCP 
jest przy ję cie sys te mu nazw do men w sie ciach UUCP. Oczy wiś cie, nie możesz przez 
UUCP za da wać za py tań do ser we ra nazw. Mi mo to wie le ośr odków UUCP stwo¬ 
rzyło małe do me ny, które we w nętrz nie ko or dy nują ich ru ting. Do me ny te ogłaszają 
w ma pach je den lub dwa ho sty ja ko swo je ga te waye, dla te go nie ka żdy host mu si 
mieć wpi s w do me nie. Ga te waye obsługują całą pocz tę, która przy cho dzi do do me 
ny i z niej wy cho dzi. Sche mat ru tin gu we wnątrz do me ny jest zu pełnie nie wi docz ny 
dlaświatazewnętrznego. 

Działa to bar dzo do brze w sche ma cie ru tin gu z in te li gen ty mi ho sta mi. Glo bal ne irt- 
for ma cje o ru tin gu są utrzy my wa ne je dy nie przez ga te waye. Mniej sze ho sty w do- 
me nie mają je dy nie małe, ręcz nie pi sa ne pli ki paths, kt óre po dają in for ma cje o tra¬ 
sach w ob rę bie do me ny i tra sę do hu ba pocz to we go. Na wet ga te waye pocz to we nie 
po trze bują już in for ma cji o ru tin gu dla ka ż de go ho sta UUCP na świe cie. Poza pełną 
in for ma cją o obsługi wa nej do me nie, muszą one po sia dać te raz w swo jej ba zie je dy¬ 
nie trasy do całych domen. Na przykład te aliasy ścieżek kierują całą pocztą dla 
ośrodków do me ny sub.org do ho sta smurf: 

.sub.org swim!smurf!%s 

Poczta adresowana do claire@jones.sub.org będzie wysyłana do swim z adresem 
smurfIjonestclaire. 

Hierarchiczny porządek prze strzeni nazw do men po zwala ser wer om pocz tow ym 
na łącze nie dokład niejs zych tras z ogólnymi. Na przykład sys tern we Frań cji może 
mieć spe cjalne tra sy dla pod dom eny fr, ale całą pocz tę dla hostów w do men ieu s kie¬ 
rów ać przez ja kiś sys tern w Sta nach Zjed noc zony ch. W ten sposób ru ting oparty na 
do men ach (bo tak się ta tech nika na żywa) znacz nie re duk uje roz miar baz da nych 
o ru tingu oraz oper acje ad min ist racyj ne. 

Główną ko rzy ścią płynącą z uży wa nia nazw do me no wych w śro do wi sku UUCP jest 
jed nak zgod ność z RFC-822, co po zwa la łatwo prze ka zy wać pocz tę po mię dzy siecia¬ 
mi UUCP a In ter ne tern. Wie le obec nych do menUUCP ma połączę nie z ga te way em 
in ter ne to wym, kt óry działa ja ko ich in te li gent ny host. Wysłanie wia do mo ści przez 
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In ter net jest szyb sze, a in for ma cje o ru tin gu są dokład niej sze, po nie waż ho sty w In¬ 
ter ne cie posługują się DN S-em za miast map Usenet. 

Ga te way in ter ne to wy do me ny opar tej na UUCP, który chce być do stęp ny z In ter ne 
tu, ogłasza swój re kord MX (re kor dy MX opi sa liś my wcze śniej w tym pod roz dzia le, 
wsekcji Ru ting pocz ty wlnter necie). Załóżmy, że host moria na leży do do me nyorc- 
net.org. Na to miast gcc.groucho.edu działa ja ko jej ga te way in ter neto wy .moria uży¬ 
wa więc gcc2 ja ko in te li gent ne go ho sta, a więc cała pocz ta dla ob cych do men jest wy¬ 
syłana przez In ter net. Z dru giej stro ny gcc2 ogłasza re kord MX dla do me ny *.orc- 
net.org i do star cza całą przy chodzącą pocz tę dla ośrodków orcnet do ho sta moria. 
Gwiazd ka w *. orcnet.org jest zna kiem uni wer sal nym; ozna cza, że pa sują tu wszyst¬ 
kie ho sty z do me ny nie po sia dające rekordów MX. Tak z wy kle dzie je się w przy pad- 
ku czy s tych do men UUCP. 

Po zos tał nam do roz wiąza nia jesz cze je den pro blem, a mia now icie: pro gramy trans¬ 
port owe UUCP nie mogą obsługiw ać pełnych nazw do men owy ch. Wię ks zość pak ie 
tów UUCP zo stała tak za proj ekto wana, by ra dzić so bie z na zwami ho stów o długoś¬ 
ci do ośmiu znaków (a cza sem na wet kr ótszymi), ale zu pełnie nie są obsługiw ane 
zna ki nie alf anu mer ycz ne, ta kie jak krop ki. 

Dla tego trze ba tłumac zyć na zwy RFC-822 na na zwy ho stów UUCP. To ma pow anie 
jest zu pełnie nie zal eżne od im plem enta cji. Jed nym z po wszechn ie sto sow any ch spo¬ 
sób ów od wzór owa nia pełnych nazw do men owy ch na na zwy UUCP jest za stos owa- 
nie pli ku ali asów ścież ek: 

moria.orcnet.org ernie!bertImoria!%s 

Dzię ki te mu, na pod staw ie pełne go ad resu do men owe go, zo stan ie wy gen ero wany 
czy sty ad res UUCP w po staci wy kazu tra sow ania. Nie któ re pro gramy pocz to we ra 
bią to za po mocą spe cjaln ego pro gramu. Na przykład sendmail wy kor zyst uje uucp- 
xtable. 

Prze kształcę nie od wrotne (po tocznie nazywane domenizowaniem) jest cza sami wy- 
mag ane przy wy syłaniu pocz ty z sie ci UUCP do In tern etu. Do póki nadaw ca pocz ty 
używa w ad res ie do cel owym pełnej na zwy do men owej, wy stare zy po zos ta wić na¬ 
zwę do meny w ad res ie na ko perć ie przy prze kaz y wa niu wia dom ości do in te li gen t- 
ne go ho sta. Ni ektóre ośrodki UUCP jed nak nie na leżą do do meny. Są one zwy kle 
„do men izo wane" przez do dan ie pseu dod orne nyuucp. 

Ba za al iasów ścież ek za pewn ia głów ne in form acje o ru tingu w sie ciach UUCP. Ty¬ 
powy wpis wygląda tak (na zwa ośrodka i ścież ka są od dziel one ta bul ato rami): 

moria.orcnet.org ernie!bertImoria!%s 
moria ernie!bertImoria!%s 

Na pod sta wie te go wpisu ka żda wia dom ość prze znać zona dla ho sta moria jest do¬ 
starczana przez ernie i bert. Jeżeli program nie ma niezależnego sposobu na od- 
wzor owa nie po międ zy prze strzen iami nazw, mu si zo stać poda na pełna na zwa da 
men owa ho stamoria oraz je go na zwa UUCP. 

Gdybyś chciał przekierować do przekaźnika poczty wszystkie wiadomości prze- 
znac zonę dla hostów znaj dujących się we wnątrz tej do meny, mógłbyś po dać ta kże 
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ścież kę w ba zie al iasów ścież ek, po przed zając na zwę do meny kropką oznac zającą 
cel. Na przykład, gdyby wszyst kie ho sty z do meny sub.org były osiągalne przez 
swimlsmurf, wpis w ba zie al iasów ścież ek mógłby wyglądać tak: 

.sub.org swim!smurf!%s 

Pisa nie plikówzaliasamiścieżekjest dopuszczalne jedynie wtedy, gdy masz ośrodek, 
który nie mu si zbyt wie le ru to wać. Je żeli mu sisz re ali zo wać ru ting dla wie lu hos tów, 
le piej jest użyć po le ce nia pathalias do stwo rze nia pli ku na pod sta wie pli ków map. 
Ma py mogą być u trzy my wa ne w du żo prost szy sposób, po nie waż możesz po pro stu 
do da wać lub usu wać sys tern, edy tując wpis i tworząc od no wa plik map. Choć ma py 
pu bli ko wa ne w ra mach pro jek tu ma po wa nia Usene tu rząd ko są uży wa ne do ru tin- 
gu, mniej sze sie ci UUCP mogą udo stęp niać in for ma cje o ru tin gu w swo ich własnych 
ze sta wach map. 

Na plik map składa się przede wszyst kim li sta oś rodków od pyt ywa nych przez ka ż- 
dy sys tern lub tych, przez które jest od pyt ywa ny nasz sys tern. Na zwa sys temu roz- 
poc zyna się w pierw szej ko lumn ie, a za nią na stęp uje li sta połączeń od dziel ony ch 
prze cink ami. Li sta może ciągnąć się przez kil ka wier szy, je żeli ko lejne wier sze za¬ 
czyn ają się od ta bul ato ra. Ka żde połączę nie jest opis ane przez na zwę ośrodka oraz 
koszt podany w nawiasach kwadratowych. Koszt to wyrażenie arytmetyczne 
złożone z liczb oraz wy raż eń sym boi iczny ch, ta kich jak DA ILY lub WEEKLY. Wier¬ 
sze roz poc zynające się znakiem hasha są ignor owa ne. 

Ja ko przykład roz waż my sys tern moria, kt óry od pyt uje swim.twobirds.com dwa 
ra zy dzień nie, abert.sesame.com raz w ty god niu. Łącze do bert wy kor zyst uje wol¬ 
ny mo dem (2400 b/s). moria opublikuje na stępujące wpisy wmapach: 

moria.orcnet.org 

bert.sesame.com(DAILY/2), 
swim.twobirds.com(WEEKLY+LOW) 
moria.orcnet.org = moria 

Dzięki ostat nie mu wier szo wi, host moria jest także znany pod nazwą UUCP. Za¬ 
uważ, że koszt mu si być okreś lony ja ko DAILY / 2 , po niew aż połączę nie dwa ra zy 
dzień nie w rze czy w ist ości zmniej sza koszt o połowę. 

Dzię ki in for ma cjom z ta kich pl ików map, pathalias jest w sta nie ob li czyć opty malną 
tra sę do do wol ne go ośrod ka do ce lo we goumieszczonegowplikuścieżeki wy ge ne 
ro wać na tej pod sta wię ba zę al iasów ście żek, która z ko lei może być wy ko rzy sta na 
do obsługi ru tin gu do tych ośrodków. 

pathalias pełni ta kże kil ka in nych funk cji, jak ukryw anie ośrodka (tzn. po wod owa- 
nie, że do stęp jest mo żliwy tyl ko przez ga tew ay). Sz cze goły oraz pełną li stę ko sztów 
łączy znaj dziesz na stro nie podręcz nika elekt roni cznegopathalias. 

Ko men ta rze w pli ku map prze wa żnie za wie rają do dat ko we in for ma cje o opi sy wa 
nych ośrod kach. Ta in for ma cja jest po da wa na według ściś le okre ślo ne go sche ma tu, 
i dzię ki te mu mo żna ją uzy skać z map. Na przykład pro gram o na zwie uuwho wy ko- 
rzystuje ba zę da nych, stwo rzoną na pod sta wie pli ków map, do wy świe tla nia ele 
ganckosformatowanychinformacji.Gdyzarejestrujeszswójośrodekworganizacji, 
kt óra dysty bu uje pli ki map swo im człon kom, prze wa żnie mu sisz wy pełnić wpis do 
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pli ku map. Po niż ej po da je my przykład o wy wpis z pli ku map (w rze czy wi sto ści jest 
to wpis ośrod ka Ola fa): 

#N monad, monad.swb.de, monad.swb.sub.org 

#S AT 486DX50; Linux 0.99 

#0 private 

#C Olaf Kirch 

#E okir@monad.swb.de 

#P Kattreinstr. 38, D-64295 Darmstadt, FRG 

#L 49 52 03 N / 08 38 40 E 

#U brewhą 

#W okir@monad.swb.de (Olaf Kirch); Sun Jul 25 16:59:32 MET DST 1993 

# 

monad brewhą(DAILY/2) 

# Domeny 

monad = monad.swb.de 
monad = monad.swb.sub.org 

Biały znak wy stę pujący po pierw szych dwóch zna kach w wier szu to ta bu la tor. Zna¬ 
czenie większości pól jest oczywiste. Szczegółowy opis dostaniesz z domeny, 
w którejsię zare jestru jesz. Naj zabawniej sze jestpole L:, po daje twoją po zy cję geogra¬ 
ficzną (sze ro kość / długość) i jest uży wa ne do ry so wa nia map post scrip to wych po ka- 
zujących wszyst kie ośrod ki w ka żdym kra ju oraz na świe cie*. 

Konfigurowanie elma 

elm to skrót od słów electronicmail (poczta elektroniczna). Jest to jedno z bar dziej sen¬ 
sów nie na z wa nych na rzę dzi w Unik sie. Za pe w nia pełno ekra no wy in ter f ejs z do brze 
oprą co waną funk cją po mo cy. Nie będzie my tu taj da wa li in struk cji, jak uży wa ćelma, 
ale zaj mie my się je go kon f i gu ra cją. 

Teoretycznie możesz uruchomić elma bez konfiguracji i wszystko będzie dobrze 
działało - je żeli masz szczę ście. Jest jed nak kil ka opcji, które muszą być ustaw ione, 
choć przy dają się tył ko cza sem. 

Przy uruchamia niueZmod czy tu jeże stawzmiennychkonfiguracyj nych zplikue/m.rc 
w ka ta lo gu /etc/elm. Na stęp nie pr obuje od czy tać plik .elm/elmrc z two je go ka ta lo gu 
ma cie rzy ste go. Zwy kle sam nie two rzysz te go pli ku. Jest on two rzo ny, gdy wy bie 
rzesz w me nu opcji elma „Save new options". 

Ze staw opcji dla pry wat ne go pli ku elmrc jest do stęp ny ró wnież w pli ku glo bal nym 
elm.rc. Wię k szość usta wień z two je go pli ku pry wat ne go elmrc może za stąpić usta wie 
nia w plikuglobalnym. 

Opcje globalne elma 

W pli ku glo bal nym elm. rc mu sisz usta wić opcje związa ne z nazwą two je go ho sta. Na 
przykład w bro wa rze wir tu al nym plik ho sta vlager jest na stę pujący: 

# 

# Nazwa hosta 
hostname = vlager 


* Mapy te są re gu lar nie wysyłane do gru py news.lists.ps-maps. Ostrze ga my: są OGROMNE. 
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# 

# Nazwa domeny 
hostdomain = .vbrew.com 

# 

# PeDna nazwa domenowa 
hostfullname = vlager.vbrew.com 

T e opcje dają elmowipo ję cie oho ście lo kal nym. Choć in for ma cje te są rząd ko uży wa- 
ne, powinieneś je jednak ustawić. Zauważ, że te szczególne opcje działają tylko 
w pli ku glo bal nym. Je żeli znajdą się w two im pli ku pry wat nym ełmrc, będą igno ro- 
wane. 

Na rodowezestawy znaków 

Oprą co wa no ze staw st andardów i RFC, które wzbo ga ciły stan dard RFC-822 o obsłu¬ 
gę różnych typów wia do mo ści, jak czy sty tekst, da ne bi nar ne, pli ki Post Script itp. Te 
standardysąpo wszech nie zna ne ja ko MI ME, czy li uni wer sal ne roz sze rze nie pocz ty 
mternetowe)(MultipurposeInternetMail Exfensóms).MIMEpozwalamiędzyinnymi, 
by od bior ca wie dział, czy w cza sie pi sa nia wia do mo ści zo stał uży ty in ny ze staw 
zna ków, niż stan dar do we ASCII, czy li na przykład tran cu skie czy nie mieć kie zna ki 
diakrytyczne, elm w pew nym stop niu te zna ki obsługu je. 

Do re prez ento wan ia zna ków uży wa się w Linuksie zwy kle zestawu ISO-8859-1. Jest 
on również zna ny pod nazwą La tin-1. Ka żda wia dom ość wy kor zyst ująca zna ki z te 
go ze stawu po winna mieć w nagłów ku na stęp ującą li nię: 

Content-Type: text/plain; charset=iso-8859-l 

Sys tern od biorc zy po win ien roz poz nawać to po le i wy świet lać wia dom ość w od¬ 
powiedni sposób. Domyślna wartość charset dla wiadomości text/plain to 
us-ascii. 

Aby wy świe tlać wia do mo ści za wie rające ze sta wy zn aków in ne niż ASCII, elm mu si 
wiedzieć, jak te znaki pokazać. Domyślnie, gdy elm odbiera wiadomość z polem 
charset o war to ści innej niżus-ascii (lub ty pemtre ści innym niż text/plain), 
pró buje ją wy świe tlić za po mocą po le ce niametamail .Wia do mo ści wy ma gające me ta- 
mail są po ka zy wa ne z li terką M w jed nej z pierw szych ko lumn na liś cie wia do mo ści. 
Po nie w aż wbu dow any m ze staw em zn aków Linuk sa jest ISO-8859-1, wy woły wan ie 
metamail nie jest konieczne, by wyświetlić wiadomość wykorzystującą ten zestaw 
zn aków. Je żeli elm wie, że urządzę nie wy świet łające ro zum ie stan dard ISO-8859-1, 
nie będzie używać metamail, ale wyświetli wiadomość bezpośrednio. Można to 
włączyć, ustaw iając po niższą opcję w globaln ym pli ku elm.rc: 

displaycharset = iso-8859-1 

Za uważ, że po win ieneś ustaw ić tę opcję na wet wte dy, gdy nie za mier zasz wy syłać 
ani od bier ać wia dom ości rze czy w iście za wier ających zna ki in ne niż ASCII. A to dla¬ 
tego, że ludzie wysyłający takie wiadomości zwykle konfigurują swój program 
pocztowy tak, by poprawnie wypełniał w nagłówku pole Content-Type :, bez 
wzglę du na to, czy wy syłają wia dom ości za pis ane w czy stym ko dzie ASCII, czy nie. 
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Jed nak ustaw ienie tej opcji w elmie nie jest obo wiązko we. Przy wy świet laniu wia- 
dom ości za po mocą wbu dow ane go pro gramu stro nic ujące go, elm wy wołuje funk cję 
bi bliot eczną wy kry w ającą, czy ka żdy ze znaków jest dru kow alny. Do myś lnie funk¬ 
cja ta roz poz naje je dyn ie zna ki ASCII ja ko dru kow alne i wy świet la wszyst kie po zos- 
tałe jako A ?. Funkcję tę możesz wyłączyć, ustawiając zmienną środowiskową 
L C_C TYPEnalSO-8859-l,którapo wod uje, że bi bliot eka uznaje zna ki La tin-1 ja ko 
drukowalne. Obsługa tej i in nych funk cji jest do stępna w Linuksie od wer sji 4.5.8 
standardowejbiblioteki. 

Przy wy syłaniu wia dom ości za wier ającej zna ki spe cjalne z ze stawu ISO-8859-1, po- 
win ieneś ustaw ić dwie do datk owe zmień ne w pli ku elm.rc: 

charset = iso-8859-1 
textencoding = 8bit 

Po wod uje to, że elm w nagłów ku pocz ty ustaw ia ze staw zn aków ISO-8859-1 i wy syła 
wia dom ość ja ko da ne 8-b ito we (do myś lnie wszy st kie zna ki są ob cin ane do 7 bitów). 

Oczyw iście wszyst kie omówio ne tu opcje związa ne z ze staw em zn aków mogą być 
ta kże ustaw iane w pry watn ym pli ku elmrc, takby in dy w idu alni użytk owni cy mo gli 
mieć własne do myś lne ustaw ienia, gdy by glo balne im nie od pow iadały. 




Wprowadzeniedosend maila 

Po wiedzą ci, że nie je steś prawdziwym ad mi ni stra to rem Unik sa, je żeli nie edy to wałeś 
pli ku sendmail.cf. Po wiedzą ci również, że je steś sza lo ny, je śli pr óbowałeś to zro bić 
dwukrotnie. 

sendmail jest niezwykle silnym programem pocztowym. Jest on także niezwykle 
trud ny. Wie le wysiłku kosztuje na uczę nie się go i zro zu mie nie. Ka żdy pro gram, któ¬ 
rego opis (książka Sendmail au tors twa Bry ana Co stal esa i Erica Ali mana wy dana 
przez 0'Reilly'ego) zaj muje 1050 stron, jest po strać hem dla wię ks zość lu dzi. 

Na szczę ście no we wer sje sendmailasą in ne. Nie mu sisz już bez po śred nio edy to wać 
trud ne godorozszy fro wania pli kusendmail.cf. Nowa wersja za wie ra pro gram konfi- 
gu ra cyj ny, któ ry two rzy za cie bie ten plik w opar ciu o du żo prost sze pli ki makr. Nie 
mu sisz wiec zgłębiać je go złożonej skład ni. Pli ki makr nie wy ma gają te go od cie bie. 
Wy star czy, że wy piszesz nazwy funkcji, które chcesz umieścić wswo jej konfiguracji 
i określisz pewne parametry. Tradycyjne narzędzie uniksowe, m4, wykorzystuje 
twoje da nekonfigura cyj nei-wcelu stworze niaplikusejzdmai/.c/-łączy je z dany mi 
od czy ta ny mi z pl ikó w wzór co wych za wie rających rzeczy wis tą skład nięsendmail.cf. 
W tym roz dziale przed staw imy sendmail i opis zemy, jak go za ins talo wać, skon fi gu- 
rować i przetestować. Za przykład posłuży nam browar wirtualny. Jeżeli dzięki 
przed staw ionym tu in form acj om uda ci się zmniej szyć oba wy przed kon fi gu ro wa- 
niem s endmaila , być może nabierzesz pew ności sie bie i po dejm iesz sa mod zielnie bar¬ 
dziej złożone za dan ia kon fig ura cyj ne. 

Instalacja sendmaila 

Agent transportowy poczty sendmail jest dołączany do większości dystrybucji 
Linuk sa. W ta kim przy pad ku in sta la cja jest sto sun ko wo łatwa. Jed nak z pew nych 
względówlepiejzainstalowaćsendmai/fl w po sta ci ko du źr ódlowe go, szc zególnie je 
żeli jesteś wyczulony na bezpieczeństwo. Program sendmail jest bardzo złożony 
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i przez lata zdobył wątpliwą reputację programu zawierającego błędy, które 
ułatwiają włamy wa nie. Jed nym z naj le piej zna nych przykładów jest ro bak in ter ne 
to wy RTM, który zro bił uży tek z prze kra cza nia za kre su bu fo ra (ang. buffer overflow) 
-próbie mu spotykane go w star szych wersjachsendmaila. Mówi li śmy o tym krótko 
w rozdziale 9, Firewall TCP IIP. Większość dziur w bezpieczeństwie wykorzy¬ 
stujących prze kro cze nie za kre su bu fo ra wy ni ka z te go, że wszyst kie ko pie s endmaila 
na różnych kom pu te rach są iden tycz ne, po nie waż wy ko rzy sty wa ne da ne są za pi sy 
wa ne w okre ślo nych miej scach. Oczy wiś cie to sa mo do ty czysendmaila za insta lo wa- 
negozdystrybucjiLinuksa.Samodzielnekompilowaniesendmaifo może pomóc zre- 
du ko wać to za grożę nie. Ws półcze sne wer sjes endmaila są mniej po dat ne na ta kie ata¬ 
ki, po nie waż są pod da wa ne nie zmier nie dokład nym te storn, odkąd, dzię ki społecz¬ 
no ści In ter ne tu, do ce nio nobez pie cze ństwo. 

Kod źródłowy sendmaila jest do stępny przez anon imo we FTP pod ad res em ftp.send- 
mail.org. 

Kom pila c)asendmaila jest bar dzo pro sta, po nie waż je go pa kiet źr ódłowybez po śred- 
niouwzględniaLinuksa.Kroki wy ma ga ne przy kom pi la cji są na stę pujące: 

# cd /usr/local/src 

# tar xvfs sendmail.8.9.3.tar.gz 

# cd src 

# ./Build 

Aby za koń czyć in stal ację uzys kany ch plik ów bi narn ych, mu sisz mieć pra wa ro ota: 

# cd obj.Linux.2.O.36.i586 

# make install 

W tym momencie pliki binarne s endmaila są zainstalowane w katalogu /usr/sbin. 
W ka ta lo gu /usr/bin po wstało kil ka do wiązań sym boi iczny ch do plików bi narn ych 
sendmaila. Powiemy o nich przy okazji omawiania typowych zadań związanych 
zeks ploatacją sendmaila. 

Przegląd plików konfiguracyjnych 

Tradycyjnie sendmail był konfigurowany przez systemowy plik konfiguracyjny 
(zwy kle/ etc/mail/'sendmail. c/lub w star szych dys try bu cjach/ etc/'sendmail.cf lub na wet 
/usr/lib/sendmail.cf), który nie przy po mi nał żad ne go zna ne go ci dotąd ję zy ka. Edy cja 
pliku sendmail.cf i dostosowywanie zachowania programu do własnych potrzeb 
może być przy krym do świad cze niem. 

Obecnie sendmaila kon fig uru je się za po mocą makr o pro stej skład ni. Me toda makr 
po zwala na ge ner owa nie kon fig ura cji wy stare zających dla wię ks zości in stal acji, ale 
zawsze masz możliwość poprawienia pliku sendmail.cf ręcznie, jeżeli pracujesz 
wbar dziej skom plik owa nym śród owi sku. 
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Pliki sendmail.cf i sendmail.mc 

Programmakroprocesora,m4,ge ne ru je pliksendrnai/.c/,przetwarzającplikikon figu¬ 
ra cyj ne makr stwo rzo ne przez lo kal ne go ad mi ni stra to ra. Da lej ten plik będzie my 
nazywa ćsendmail.mc. 

Proces konfiguracji wzasadziepoleganastwo rżeniu od powiedniegoplikusendwrai/. mc, 
który za wie ra ma kra opi sujące żądaną kon f i gu ra cję. Ma kra to wy ra że nia ro zu mia ne 
przez ma kro pro ce sor m4 i rozwijane do złożonej składni sendmail.cf. Wyrażenia 
makr składają się z nazwy ma kra (tekst pi sany duży mi li te rami), która może być 
połączo na z funk cją w ję zy ku pro gra mo wa nia, i kil ku par ametrów (tekst w na wia- 
sach), kt óre są uży wa ne w trak cie roz wi ja nia makr. Pa ra me try mogą być prze ka za ne 
dosłownie do pli ku sendmail.cf lub wy ko rzy sta ne do zarządza nia spo so bem prze 
twa rza nia ma kra. 

Plik sendmail.mc w minimalnej konfiguracji (UUCP lub SMTP z przekazywaniem 
poczty nielokalnej przez bezpośrednio podłączony inteligentny host) może mieć 
długość za led wie 10 czy 15 wier szy, nie licząc ko ment arzy. 

Dwa przykład owe pl i ki sendmail.mc 

Je żeli je steś ad mi ni stra to rem wie lu róż nych hos tów pocz to wych, możesz mieć pe 
trzebę nazwania swoich plików konfiguracyjnych inaczej niż sendmail.mc. Zwykle 
na zy wa się je zgod nie z nazwą ho sta, czy li w na szym przy pad ku vstout.m4. Na zwa 
tak na praw dę nie ma zna cze nia, wa żne,żebyplik wy ni ko wy na zy wał się sendmail.cf. 
Nadanie unikalnej nazwy plikowi konfiguracyjnemu każdego hosta pozwala ci 
prze cho wy wać wszyst kie te pli ki w jed nym ka ta lo gu, co jest po pro stu wy god ne dla 
ad mi ni stra to ra. Przyj rżyj my się dwóm przykład o wy m pli kom kon f i gu ra cyj nym, że 
by śmy wie dzie li, z czym ma my do czy nie nia. 

Większośćkonfiguracji sendmaila uży wa obec nie je dy nie SMTP. Taka kon fi gu ra cja 
jest bar dzo pro sta. Przykład 18-1 ocze ku je, że do roz wiązy wa nia nazw hostów bę¬ 
dzie do stęp ny ser wer DNS, a po za tym przyj mu je i do star cza całą pocz tę dla hostów, 
uży wając tyl ko SMTP. 

Przykład 18-1. Przykład o wy plikkonfi gu racyj nyvstout.smtp.m4 

divert(-1) 

# 

# PrzykDadowy plik konfiguracyjny dla vstout - tylko smtp 

# 

divert(0) 

VERSIONID( 1 @(#)sendmail.mc 8.7 (Linux) 3/5/96') 

OSTYPE('linux') 

# 

# DoDdczenie obsDugi protokoDów poczty lokalnej i smtp 
MAILER('local') 

MAILER('smtp') 

# 

FEATURE(rbl) 

FEATURE(access_db) 

# koniec 
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Plik sendmail.mc dla vstout w bro wa rze wir tu al nym zo stał po ka za ny w przykładzie 
18-2. vstout uży wa SMTP do ko mu ni ka cji ze wszyst ki mi ho sta mi w sie ci LAN bro¬ 
waru. Zauważysz ele men ty wsp ólne z wy żej po ka zaną kon fi gu ra cją wy ko rzy stu- 
jącą tyl ko SMTP. Całą pocz tę prze zna czoną dla in nych ho stów vstout wy syła przez 
UUCP do moria-swojegohostaprzekaźnikowegodolnternetu. 

Przykład 18-2. Przykład o wy plik kon f i gu ra cyj ny vsto ut.uucpsmtp.m4 

divert(-1) 

# 

# PrzykDadowy plik konfiguracyjny dla vstout 

# 

divert(0) 

VERSIONID('@(#)sendmail.mc 8.7 (Linux) 3/5/96') 

OSTYPE('linux') 
dni 

# moria jest naszym inteligentnym hostem, wykorzystujemy transport 

# "uucp-new". 

define( 1 SMART_HOST', 'uucp-new:moria') 

dni 

# ObsDuga protokodów poczty lokalnej, uucp i smtp. 

MAILER('local') 

MAILER('smtp') 

MAILER ('uucp') 

LOCAL_NE T_CONF IG 

# Ta reguDa gwarantuje. De caDa poczta lokalna bDdzie 

# dostarczana z wykorzystaniem protokoOu SMTP, a wszystko inne 

# bDdzie szDo przez inteligentny host. 

R$* < @ $* .Sm. > $* $#smtp $@ $2.$m. $: SI < @ $2.$m. > $3 
dni 

# 

FEATURE(rbl) 

FEATURE(access_db) 

# koniec 

Jeśli porównasz te dwie konfiguracje, możesz dojść do tego, co robi każdy z pa¬ 
rametrów. Wy ja śni my to szczegółowo. 

Typoweparametryużywanewsendmail.mc 

Pew ne ele men ty pli kusendmail.mc są obo wiązko we. In ne mo żna po minąć, je żeli wy¬ 
starczą ci wartości domyślne. Kolejność definicji w pliku sendmail.mc jest nastę¬ 
pująca: 

1. VERSIONID 

2. OSTYPE 

3. DOMAIN 

4. FEATURE 

5. Lokalnedefinicjemakr 

6. MAILER 

7. Zestawyreguł LOCAL_* 
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W na stępn ych pod rozd ziałach omówimy ka żdą z nich po ko lei, od wołując się w ra¬ 
zie po trzeby do na szych przykładów 18-1 i 18-2. 

Komentarze 

Wier sze roz po czy nające się w pli knsendmail.mc od zna ku #nie są ana li zo wa ne przez 
m4 i domyślnie są przepisywane do pliku sendmail.cf. Jest to przydatne, jeżeli 
chcesz skomen to wać to, co ro bi two ja kon fi gu ra cja w obu pli kach - w we jś cio wym 
iwyjściowym. 

Aby umie ścić w pli ku sendmail.mc ko men ta rze, kt drenie zo staną prze nie sio ne do pli¬ 
ku sendmail.cf, możesz użyć dyrektyw m4: divert i dni. Dzięki divert(-l) nic 
niebędziewyprowadzanenawyjście,adivert (0) umożliwia powrót do sta nu do¬ 
my śl ne go. Wszystko, co zo sta nie wy ge ne ro wa ne po mię dzy ty mi wier sza mi, zo sta¬ 
nie wy rzu co ne. W na szym przykładzie uży liś my te go me cha ni zmu do stwo rze nia 
ko men tarza, który będzie tylko w pli ku sendmail.mc. Aby uzy skać ten sam efekt dla 
pojedynczego wiersza, możesz użyć dyrektywy dni, która dosłownie oznacza 
„począwszy od na stęp ne go wier sza, usuń wszyst kie zna ki, aż do no we go wier sza 
włącznie". Jej też uży liś my w na szym przykładzie. 

Są to standardowe funkcje m4 i więcej na ich temat możesz znaleźć na stronach 
podręcz nika elekt roni cznego. 

VERSIONID i OSTYPE 

VERSIONID('@(#)sendmail.mc 8.9 (Linux) 01/10/98') 

Ma kro VERSI ON ID jest opcjo nalne, ale przy datne do za pis ywa nia wer sji kon fig ura- 
cji sendmaila w pli ku sendmail.cf. Czę sto więc bę dziesz się z nim spo tykał. Za lec amy 
ko rzys tanie z nie go. Na to miast musisz pa mię tać, by do dać: 

OSTYPE('linux') 

Ta de fi ni cja na le ży do naj wa żniej szych. Ma kroO S T Y PE po wo du je, że są do da wa ne 
pliki de fi ni cji, kt óre za wie rają po praw ne war to ści do my śl ne dla two je go sys te mu 
operacyjnego. Większość definicji w makro OSTYPE ustawia ścieżki do różnych 
plików konfiguracyjnych, ścieżki i argumenty do programu wysyłającego pocztę 
oraz lo ka li za cję ka ta lo gów, w kt ór ych sendmail prze cho wu je wia do mo ści. Stan dar- 
dowy kod źródłowy sendmaila zawiera takie pliki dla Linuksa i zostałyby one 
wciągnię te w po przed nim przykładzie. Niektóre dys try bu cje Linuk sa, szcze golnie 
De bian, za wie rają własne pli ki de fi ni cji, kt óre są w pełni zgod ne ze stan dar dem Li- 
nu x-FHS. Je żeli tak jest też w two jej dysty bu cji, praw do po dob nie po wi nie neś użyć 
tych de fi ni cji, za miast do my śl nych de fi ni cji dla Linuk sa. 

Definicja OSTYPE po win nabyć jedną z pierw szych w two im pliku sendmail. mc, gdyż 
wie le na stęp nych od wołuje się do niej. 

DOMAIN 

Ma kro DOMAIN przy da je się, gdy chcesz skon fi gu ro wać wie le kom puterów w tej sa¬ 
mej sie ci w stan dar do wy spos ób. Je żeli kon fi gu ru jesz kil ka hos tów, praw do po dob 
nie nie war to go an ga żować. Zwy kle kon fi gu ru jesz ta kie rze czy, jak na zwa ho stów 
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przeka żujących pocz tę lub hu by, kt óre będą wy ko rzy sty wały wszyst kie ho sty w two¬ 
jej sieci. 

Stan dard owa in stal acja za wiera ka tal og wz orcówmakr m4 , uży w any do kie ro w ania 
pro ces em kon fig ura cji. Zwy kle jest to /usr/share/sendmail. c/lub coś po dobn ego. Znaj¬ 
dziesz w nim pod kat alog o na zwie domain za wier ający wzór ce spe cyf iczne dla kon- 
fig ura cji do meny. Aby wy kor zyst ać ma kro DOMAIN, mu sisz stwo rzyć swój własny 
plik ma kro za wier ający stan dard owe de fin icje wy mag ane dla two jego ośrodka i za¬ 
pisać go w podkatalogu domain. Zwykle zapisujesz w nim tylko makrodefinicje 
unik alne dla two jej do meny, jak in tel ige ntny host czy ho sty prze kaz ujące, ale nie je 
steś ogran icz ony tyl ko do nich. 

Kod źródłowy sendmaila jest do stare zany wraz z przykład ow ymi pli kami makr do¬ 
men, na pod staw ie któ rych możesz stwo rzyć swo je własne. 

Jeżeli zapisałeś swój plik domenowy jako /usr/share/sendmail.cf/domain/vbrew.m4, 
w swo im pli ku sendmail.mc możesz użyć ma kra DOMAIN w na stę pujący sposób: 

DOMAIN('vbrew') 

FEATURE 

Ma kro FE ATURE po zwa la dołączyć do kon fi gu ra cji sendmaila pre de fi nio wa ne funk¬ 
cje, które ułatwiają posługi wa nie się kon fi gu ra cja mi. Funk cji tych jest du żo i w tym 
roz dzia le po wie my tyl ko o kil ku naj bar dziej przy dat nych i wa żnych sp ośród nich. 
Szczegółowy opis do stęp nych funk cji możesz zna le źć w pli ku CF, załączo nym do 
pa kie tu z ko dem źr ódłowym. 

Aby wykorzystać żądaną funkcję, powinieneś w pliku sendmail.mc wpisać nastę¬ 
pujący wiersz: 

FEATURE (nazwa) 

gdzie nazwD musisz zastąpić nazwą funkcji. Niektóre funkcje przyjmują jeden 
opcjo nalny pa ram etr. Gdy byś chciał użyć cze goś w in ny sp osób, niż do myś lny, po- 
wi nie neś określić funk cję w na stęp ujący sposób: 

FEATURE (nazwa, parametr) 

gdzie pa ramę tr ma zna czen ie oczy w iste. 

Makrodefinicjelokalne 

Standardowe pliki konfiguracyjne makr sendmaila oferują wiele zmiennych, dzięki 
któr ym możesz do sto so wać kon fi gu ra cję do swo ich po trzeb. Są to tak zwa n emakrode- 
finicjelokalne. Wie le z nich wy mie nio no w pli ku CF w pa kie cie z ko dem źr ódłowym 
sendmaila. 

Makrodefinicje lo kał ne są zwy kle wy woływa ne przez poda nie na zwy ma kra oraz 
argumentuzawierającego wartość, którą chcesz przypisać zmiennejobsługiwanej 
przez makro. Kilka często używanych makrodefinicji lokalnych omówimy i poka¬ 
żemy na przykład ach w dal szej czę ści te go roz działu. 
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Definiowanieprotokołówtransportowych poczty 

Je śli chcesz, że by sendmail prze syłał pocz tę w ja ki kol wiek in ny sp osób, niż lo kal nie, 
mu sisz mu wska zać, jak ma to ro bić. Ułatwia to ma kro MAILER. Aktualna wersja 
s endmaila obsługu je sze reg pro to kołów trans por to wych pocz ty. Niek tóre z nich są 
eks pe ry men talne, inne sąraczej rzadko używane. 

W na szej sie ci po trzebne są: pr otokól SMTP do wy syłania i od bier ania pocz ty po- 
międ zy ho stami sie ci lo kaln ej oraz protokół UUCP do wy syłania i od bier ania pocz ty 
z naszego inteligentnego hosta. Aby to uzyskać, po prostu dołączamy protokoły 
transportowe smtp i uucp. Protokół local jest dołączany domyślnie, alemożna go 
dla jasności zdefiniować, jeżeli masz na to ochotę. Jeżeli w swojej konfiguracji 
dołączasz programy pocztowe smtp i uucp, musisz pamiętać, by smtp zawsze 
umieszczać ja ko pierwsze. 

Po niżs za li sta opis uje czę ściej uży w ane pro tokoły trans port owe do stępne dla ma kra 

MAILER: 

local 

Ten protokół obejmuje agenta lokalnego używanego do wysyłania poczty do 
skrzy nek pocz to wych użyt ko wników oraz pro gram wysyłający pr og uży wa ny 
do wysyłania wia do mo ści do pro gr am ów lo kal nych. Ten pr oto kół jest dołącza ny 
domyślnie. 

smtp 

Ten protokół implementuje prosty protokół przesyłania poczty elektronicznej 
(SMTP), który jest najczęściej używanym protokołem w Internecie. Gdy go 
dołączysz, konfigurowane są cztery pro gra my wysyłające pocz tę: smtp (pod sta¬ 
wowe SMTP), esmtp (rozszerzone SMTP), smtp8 (8-bitowe SMTP) i relay 
(stwo rzo ny spe cjalnie do prze ka żywa nia pocz ty po mię dzy ho sta mi). 

uucp 

Pr oto kół uucp daje obsługę dw óch pr ogr amów wysyłających: uucp-o ld, czy li 
tra dy cyj ne UUCP, i uucp -ne w, po zwa łający na obsłużę nie za jed nym ra zem kil¬ 
ku odb iorców. 

Usenet 

Ten pro gram wysyłający po zwa la ci na wysyłanie wia do mo ści bez po śred nio do 
sie ci grup dys ku syj nych Usene tu. Wszel kie wia do mo ści lo kal ne skie ro wa ne na 
ad resnews .group .usenetzo staną prze kie ro wa ne do sie ci grup dys ku syj nych na li¬ 
stę news.group. 
f ax 

Jeżeli masz zainstalowane oprogramowanie HylaFAX, ten program wysyłający 
po zwo li ci prze kie ro wać na nie pocz tę, tak abyś mógł stwo rzyć ga te way po mię¬ 
dzy pocztą a fak sem. W cza sie pi sa nia tej książki ta funk cja jest eks pe ry men tal na 
i wię cej in for ma cji na jej te mat możesz uzy skać pod ad re sem http://wwzv.vix.com/ 
hylafax/. 
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Ist nieją in ne przy dat ne, ale rza dziej uży wa ne pro to koły, ta kie jakpop, procmail, 
mailll,phqueryi cyrus.Je żeli obu dzi liś my twoją cie ka wość, możesz po czy tac 
na ich te mat w książce o sendmailulub wdo ku men ta cji do star cza nej w pa kie cie ko du 
źródłowego. 

Konfigurowanierutingupocztydlahostówlokalnych 

Nasz przykład kon fi gu ra cjibro waru wir tu alne go jestza pewne bar dziej skompliko¬ 
wany niż konfiguracja większości rzeczywistych ośrodków. Obecnie najczęściej 
używa się tylko SMTP i mało kto interesuje się UUCP. W naszej konfiguracji 
u względ ni liś my „ in te li gent ny host", który jest uży wa ny do obsługi całej pocz ty wy¬ 
chodzącej. Ponieważ używamy transportu SMTP w naszej sieci lokal nej, mu simy 
poinformo waćsendmaila, że by nie wy syłał pocz ty lo kal nej przez in te li gent ne go ho- 
sta. Ma kro L0CAL_NET_C0NFIG pozwą la wsta wiać re guły bez po śred nio do pli ku 
wy niko wegosendmail.cf i w ten sposób mo dy fi ko wać obsługę pocz ty lo kal nej. Wk rót- 
ce powie my wię cej na te mat re guł pod sta wia nia, ale w tej chwi li po wi nie neś tyl ko 
wie dzieć, że do da na w na szym przykładzie re guła mó wi, że pocz ta prze zna czo na 
dla hostów w do me nie vbrew.com po winnabyćdostar cza nabezpośredniodohosta 
ad re sa ta za po mocą pro to kołu SMTP. 

Generowanie pliku sendmail.cf 

Gdy skończysz edycjęplikukonfiguracyjnegom4, musisz goprzetwo rzyć, by wygę 
ne ro wać plik /etc/mail/sendmail. c/od czy ty wa ny pr zezsendmaila. Jest to pro ste, jak wi¬ 
dać na po niż szym przykładzie: 

# cd /etc/mail 

# m4 /usr/share/sendmail.cf/m4/cf.m4 vstout.uucpsmtp.mc >sendmail.cf 

Topolece nie wy wołujemakroprocesorm4, któremu dostarcza się nazwy dwóch ma- 
krodefinicjido prze tworze nia. m4 prze twa rza pli ki w poda nej ko lejności. Pierwszy 
plik to stan dar do we ma kro wz orców sendmaila do star cza ne w pa kie cie ko du źród¬ 
łowe go, a dru gi to oczy wiś cie plik za wie rający twoje własne ma kro de fi ni cje. Wy nik 
po le ce nia jest prze kie ro wy wa ny do pli ku /etc/mail/sendmail.cf. 

Te raz możesz uruc homić s endmail z nową kon fig ura cją. 

Interpretacjai pisanie reguł podstawiania 

Mo żna po ku sić się o stwier dze nie, że naj moc niejszą stronąsendmaila są re guły pod- 
sta wia nia. Służą sendmailowi do okre śla nia, jak prze twa rzać ode braną wia do mość. 
sendmail prze ka zu je ad re sy z nagłówków wia do mo ści do zestawu reguł pod sta wia nia 
(ang. rw/esefs).Regułypodstawianiaprzetwarzająadreswiadomościzjednejpostaci 
do dru giej i możesz je trak to wać po dob nie jak po le ce nie two je go edy to ra, któ re za- 
stę pu je cały tekst pa sujący do ja kie goś wzór ca in nym tek stem. 

Ka żda re guła ma lewą i prawą stro nę, od dziel one przy najmn iej jed nym zna kiem ta- 
bul ato ra. Gdysendmail prze twar za pocz tę, przegląda re guły pod sta wia nia, szu kając 
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do pas owa nia po le wej stro nie. Je żeli ad res pa suje do le wej stro ny re guły, jest za stę¬ 
po wa ny prawą stroną i po nown ie prze twar zany. 

Po lece nia R i S pli ku send ma il.cf 

W pli ku sendmail.cfze sta wy re gul są de fi nio wa ne za pomocą po le ceń za pi sy wa nych 
jako Sn, gdzie n określa bieżący ze staw reguł. 

Sa me re guły są ko do wa ne ja ko R. Przy od czy ty wa niu ka ż de go po le ce niaR, re gula 
jest do da wa na do ak tu al ne go ze sta wu. 

Je żeli uży w asz tyl ko pli kusendmail.mc, nie mu sisz w og óle za wrac ać so bie głowy po¬ 
lec eniami S, gdyż wię ks zość makr stwo rzy je za cie bie. Ręcz nie mu sisz two rzyć tyl¬ 
ko re guły R. 

Ze stawregul sendmaila wygląda tak: 

Sn 

R lhs rhs 
R lhs2 rhs2 

Kilkaprzydatnychmakrodefinicji 

sendmail wykorzystuje wewnętrzniekilka standardowych makrodefinicji.Najbap 
dziej przy dat ne z nich przy pi sa niu ze st awów re gul są: 

$j 

Pełna na zwa do men owa da nego ho sta. 

$w 

Na zwa ho sta uzys kana na pod staw ie FQDN. 

$m 

Na zwa do meny uzys kana na po staw ie FQDN. 

Te makrodefinicje możemy wykorzystywać w naszych regułach podstawiania. 
W kon f i gu ra cji bro wa ru wir tu al ne go uży wa ne jes t ma kro $ m. 

Lewa stro na 

Po le wej stro nie re guły pod sta wia nia umiesz czasz wzo rzec, do którego mu si pa so- 
wać ad res, kt óry chcesz prze kształcić. Wię k szość zna k ów jest do pa so wy wa na do¬ 
słownie, ale jest kilka, które mają szczególne znaczenie. Przed sta wia myje po niżej. 
Reguły pod sta wia nia dla le wej stro ny są na stę pujące: 

$@ 

Pa su je dokład nie zero le ksemów. 

$* 

Pa su je zero lub mniej leksemów. 

$ + 

Pa su je je den lub wię cej lek semów. 

$- 


Pa su je doklad nie je den lek sem. 
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$=x 

Pa su je do wol na f ra za z kia sy x. 

$~x 

Pa su je do wol ne słowo nie na leżące do kia sy x. 

Lek sem to ciąg znaków ogra ni czo ny spa cja mi. Nie ma ani spo so bu na umiesz cze nie 
spa cji w lek se mie, ani ta kiej po trze by, gdyż wzór ce wy ra że nia są do sta tęcz nie ela- 
stycz ne. Gdy ad res zo sta nie do pa so wa ny do re guły, tekst pa sujący do ka ż de go ze 
wzorców wy rażeniazostanieprzypisanyspecjalnymzmiennym, który ch będzie my 
uży wać po pra wej stro nie. Je dy nym wyjątkiem jest tu $ @, do którego nie pa su je ża¬ 
den lek sem i dla te go nig dy nie ge ne ru je on tek stu, któ ry mógłby być wy ko rzy sta ny 
po pra wej stro nie. 

Prawa stro na 

Gdy ad res zo sta nie do pa so wa ny do re guły pod sta wia nia po le wej stro nie, ory gi nał- 
na tre ść jest usu wa na i za stę po wa na prawą stroną re guły. Wszyst kie lek se my po 
pra wej stro nie są dosłow nie ko pio wa nie, chy ba że za czy nają się od zna ku do la ra. 
Tak jak po le wej stro nie, po pra wej mo żna ta kże uży wać sze re gu me ta sym bo li. Są 
one opisane na poniższej liście. Reguły podstawiania dla prawej strony są nastę¬ 
pujące: 

$n 

Ten me tas ymbol jest za stęp owa ny przez n-te wy raż enie z le wej stro ny. 

$[ nazwa$] 

Ten me ta sym boi roz wija na zwę ho sta do po sta ci ka no nicz nej. Podana na z wa ho- 
sta jest za stę po wa na przez jej po stać ka no niczną. 

$(mapa klucz $@argumenty $:domyJlny $) 

To jestbar dziej ogó Ina po stać wy szu ki wania. Wynik jest rezul ta tern po szu ki wa- 
nia klucz a w ma pie o na zwie map przy prze kazaniu argumentów. Mapą może 
być dowolna mapa obsługiwana przez s endmaila, jak virtusertable, którą 
opi su je my nie co da lej. Je żeli wy szu ki wa nie nie za ko ńczy się suk ce sem, zo sta nie 
przyjęty wy nikdomyJ lny. Je żeliniezdefiniowaliśmywynikudomyślnegoi wy 
szu ki wa nie się nie po wie dzie, to dane we jś cio we po zo staną nie zmie nio ne, a jako 
wynik zostanie podany klucz. 

$>n 

Ten sym boi po wod uje, że zo stan ie prze twór zona po zos tała czę ść wier sza, a na¬ 
stępnie zostanie on przekazany zestawowi reguł n do oszacowania. Wynik 
wywołanego zestawu reguł zostanie zapisany jako wynik tej reguły. Ten me- 
chan izm po wala na wywoły wan ie zest awów reguł z reguł. 

$#program_wysyDajDcy 

Ten me ta sym boi po wo du je, że sza co wa nie zes ta wów reguł jest za trzy my wa ne 
i okre śla pro gram wysyłający, któ ry po wi nien być uży ty do przesłania wia do mo¬ 
ści w kolejnym kroku jej dostarczania. Ten metasymbol powinien być wywo- 
ływa ny tyl ko z ze sta wu reguł 0 lub jed nej z jego pro ce dur. Jest to ko ńco wy etap 
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prze twa rza nia adresuipowinienbyćrealizo wa nyprzezdwana stęp ne me ta sym¬ 
bole. 

$@host 

Ten me ta sym boi okre śla ho sta, do kt órego zo sta nie prze ka za na wia do mość. Je 
żeli do celo wy host jest ho stem lokalnym, można go po minąć, host może mieć 
po stać od dzie lo nej dwu krop ka mi li sty ho stów do ce lo wych, do kt ór ych będą po- 
dej mowa ne ko lej ne pr óby do star cze nia pocz ty. 

$:uDytkownik 

Ten me ta sym boi okre śla do ce lo we go uży t kow ni ka, dla któr ego jest prze zna czo na 
poczta. 

Pa sująca re gula pod sta wia nia jest zwy kle te sto wa na do poty, do póki kt óreś dopasą 
wa nie się nie po wie dzie, a wte dy prze twa rza nie prze cho dzi do na stęp nej re guły. Za¬ 
cho wa nie to mo żna zmie nić, po prze dzając prawą stro nę jed nym z dwó ch me ta sym 
bo li poda nych po niż ej. Sym bo le ste rujące pętlą re guły pod sta wia nia dla pra wej stro¬ 
ny to: 

$@ 

Ten me ta sym boi po wo du je po wr ót z ze sta wu reguł z po zo stałą czę ścią pra wej 
stro ny jako zwra caną war to ścią. Nie będą sza co wa ne żad ne z po zo stałych reguł 
w ze sta wie. 

$ : 

Ten metasymbol powoduje natychmiastowe za kończę nie reguły, ale po została 
część bieżącego ze sta wu jest sza co wa na. 

Pro sty przykład reguły wzór ca 

Aby le piej zrozumieć, jak działa za stę po wa nie wz orc ów, roz wa żmy po niższą lewą 
stronęreguły: 

$*<$+> 

Do tej re guły pa suje „ze ro lub wię cej lek semów, po tern znak <, po tern je den lub wię¬ 
cej lek semów i znak >". 

Gdyby tę regułę za stosować do brewer@vbrew. com lub Head Brewer < >, nie 
pa sowałaby. Pierw szy ciąg nie pa sowalby, bo nie za wiera zna ku <, a dru gi, bo do $ + 
pa suj e je den lub wię cej lek semów, a po międ zy zna kami o lek sem ów nie ma. W ka¬ 
żdym przy padku, gdy nic nie pa suje do re guły, pra wa stro na nie jest używ ana. 

Gdyby regułę zastosować do Head Brewer < brewer@vbrew.com >, pa¬ 
sowałaby, a zmień na $ 1 po pra wej stro nie zo stałaby za stąpio na przez Head Bre¬ 
wer, zaś $2 przezbrewer@vbrew.com. 

Gdy by regułę za stos ować do < brewer@vbrew. com >, pa sowałaby, ponieważ do 
$* pasujezero lub więcej leksemów, a $1 po prawej stro nie zostałoby zastąpione 
ciągiem pustym. 
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Skład niazestawu reguł 

Ka żdy ze staw re gulsendmaila ma do spełnie nia s wo je własne za da nia w prze twa rza- 
niu pocz ty. Gdy pi szesz re guły, trze ba wie dzieć, cze go mo żna się spo dzie wać po da¬ 
nym zestawie. Przyjrzymy się zestawom reguł, które można modyfikować przez 
s kryp ty konf i gu ra cyjne m4 : 

L OCAL_R UL E_3 

Zestaw reguł 3 jest odpowiedzialny za konwertowanieadresów w dowolnym 
for macie na f or mat obsługiw any przezsewdmai/a. Oczek iwa ny wy nik owy for ma t 
ma znajomą po staćczDDD-lokalnaShost. domena. 

Ze staw reguł 3 umiesz cza na zwę ho sta kon wer to wa ne go ad re su po mię dzy zna- 
ka mi < >, by ułatwić prze twa rza nie przez na stęp ne ze sta wy reguł. Ze sta w reguł 3 
jest sto so wa ny, za mmsendmail wy kona jakie kol wiekinne prze twa rza nie adresu 
e-mail, a więc jeżeli chcesz, by sendmail był gatewayem z/do systemu uży¬ 
wającego ja kie goś nie zwykłego forma tu ad re su, za po mocąL0CAL_RULE_3 po- 
wi nie neś do dać regułę kon wer tującą ad re sy do stan dar do wej po sta ci. 
LOCAL_RULE_0 i LOCAL_NET_CONFIG 

Zestaw reguł 0 jest stosowany przez sendmaila do przetwarzania adresów od¬ 
biorcy po ze staw ie reguł 3. Ma kro L0CAL_NET_C0NFIG po wod uje, że reguły są 
wsta wiane do drugiej części ze stawu reguł 0. 

Ze staw reguł 0 re ali zu je do star cza nie wia do mo ści do od bior cy, a więc musi da¬ 
wać w wyniku trzy elementy określające program wysyłający pocztę, hosta 
i użyt kow ni ka. Reguły będą umiesz czo ne przed de fi ni cją in te li gent ne go ho sta, 
którą możesz wstawić. A więc, jeżeli dodasz reguły, które odpowiednio roz¬ 
wiązują ad re sy, wszel kie pa sujące do reguły ad re sy nie będą obsługi wa ne przez 
in te li gent ny host. W ten sp os ób obsługu je my bez po śred nio s mtp na przykład dla 
użytkowników sie ci lo kał nej w na szym przykładzie. 

LOCAL_RULE_l \ LOCAL_RULE_2 

Ze staw reguł 1 do tyc zy wszyst kich adresów nadawc ów, a ze staw reguł 2 wszyst¬ 
kich adresów odbior ców. Oba ze stawy zwy kle są pu ste. 

In ter pre ta cja reguły w na szym przykładzie 

W na szym przykładzie 18-3 uży wa my ma kra LOCAL_NET_CONFIGdoza de kła ro- 
wa nia lo kał nej re guły, kt óra spra wia, że ka żda pocz ta w na szej do me nie jest do star¬ 
cza na bez po śred nio przy uży ciu pro gra mu wy syłające go smtp. Te raz, gdy wie my, 
jak są zbu do wa ne re guły pod sta wia nia, będzie my mo gli zro zu mieć, jak działa ta re 
guła. Przyj rżyj my się jej ponownie. 

Przykład 18-3. Reguła pod sta wia nia z vsto ut.uucpsmtp.m4 

LOCAL_NET_CONFIG 

# Ta reguDa zapewnia. De caDa poczta lokalna bDdzie 

# dostarczana za pomocD protokoDu SMTP, a wszystko inne 

# bDdzie szDo przez inteligentny host. 

R$* < @ $* .$m. > $* $#smtp $@ $2.$m. $: $1 < @ $2.$m. > $3 
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Wiemy, że makro LOCAL_NET_CONFlG powoduje,żeregułazostaniewstawioną 
gdzieś pod ko nieć ze stawu re guł 0, ale przed de fin icją in tel ige ntnego ho sta. Wie my 
ta kże, że ze staw re guł 0 jest ostatn im wy kon y wa nym i że po win ien da wać w wy niku 
trzy elem enty: pro gram wy syłający, użytk owni ka i ho sta. 

Możemy zi gnor ować trzy wier sze ko ment arza - nie ro bią one nic przy datn ego. Sa¬ 
ma re guła to wiersz roz poc zynający się od li tery R. Wie my, że R jest po lec eni emsend- 
maila, które do daje re gułę do ak tua lne go ze stawu re guł, czy li w tym przy padku do 
ze stawu 0. Przyj rżyjmy się ko lejno le wej i pra wej stro nie. 

Le wa stro na wygląda tak: $ * < @ $ * . $m. > $ * . 

Ze staw re gul 0 oczek uje znaków < i >, po niew aż do staje da ne z ze stawu re guł 3. Ze 
staw re guł 3 kon wert uje ad resy do stan dard owej po staci i ułatwia prze twar zanie. 
Umieszc za ta kże ho sta, do którego jest ad res owa na pocz ta, po międ zy zna kami o. 

Do tej reguły pa su je każdy adres wyglądający tak:' Des tUs er < @ somehost.our- 
domain > Some Text' .Toznaczy,żekażdawiadomośćpasujedokażdegoużytkow- 
ni ka na ho ście w na szej do me nie. 

Pa mięt asz, że tekst do pas owa ny przez me tas ymbo le po le wej stro nie re guły pod¬ 
staw iania jest przy pis y wa ny do ma krod efi nic ji uży w any ch po pra wej stro nie. W na¬ 
szym przykładzie, do pierw szego $ * pa suje cały tekst od początku ad resu do zna ku 
<. Cały ten tekst zo stan ieprzypisanydozmien nej $l,którąmożna wy korzystaćpo 
pra wej stro nie. Po dobn ie dru gi $ * w na szej re gule jest przy pis y wa ny do zmień nej 
$2, a ostatni do $3. 

To już wy star cza do zro zu mie nia le wej stro ny. Do tej re guły pa su je ka żda wia do mość 
dlado wol ne go uży t kow ni ka na do wol nym ho ście w na szej do me nie. Na z wa użyt- 
kownikajestprzypisy wanado $1, nazwa ho sta do $2, a dal szy tekst do $3. Na stęp 
nie zmień ne te są prze twa rza ne po pra wej stro nie. 

Przyj rżyj my się te raz, ja ki wy nik chce my uzy skać. Pra wa stro na na szej przykład o wej 
regułypodstawianiawyglądatak:$#smtp $@ $2.$m. $: $1 < @ $2.$m. > $3. 

Przy prze twa rza niu pra wej stro ny na szej re guły, ka żdy z me ta sym bo li jest in ter pre ta 
wa ny i jest do ko ny wa ne od po wied nie pod sta wie nie. 

Metasymbol $# powoduje, że re guła ta da je okreś lony proto kół, w na szym przy¬ 
padku s mtp. 

Znak $ @ od po wia da ho sto wi do ce lo we mu. W na szym przykładzie host do ce lo wy jest 
okre ślo ny ja ko $ 2 . $m., co da je pełną na zwę do me nową ho sta w na szej do me nie. 
Pełna nazwa jest tworzona na podstawie elementu przypisanego do $2 po lewej 
stro nie re guły i do meny (. $m.). 

Me tas ymbol $ : okreś la do cel owe go użytk owni ka, które go znów uzys kali śmy z le 
wej stro ny i umieś ciii śmy w zmień nej $ 1. 

Za chow uje my za wart ość czę ści ujęt ej w zna ki o i dal szy tekst, uży w ając da nych ze 
bran ych z le wej stro ny re guły. 
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Ponieważ ta reguła daje nam w rezultacie program wysyłający, wiadomość jest 
prze ka zy wa na te mu pro gra mo wi do do star cze nia. W na szym przykładzie wia do- 
mość zo sta nie prze ka za na do do ce lo we go ho sta przez protokół SMTP. 

Konfigurowanieopcji sendmaila 

sendmail po sia da sze reg opcji po zwa łających do sto so wać sp osób re ali za cji ró żny ch 
za dań. Jest ich du żo, a więc na po niż szej liś cie po ka zu je my tył ko kil ka czę ściej uży¬ 
wanych. 

Aby skon fi gu ro wać jakąś z tych opcji, możesz al bo zde fi nio wać ją w pli ku kon fi gu- 
ra cyj nym m.4, co jest spo so bem pre fe ro wa nym, al bo wsta wić ją bez po śred nio do pli¬ 
ku sendmail.cf. Na przykład, gdy byś chciał, że by sendmail two rzył no wy pro ces dla 
ka ż dej wia do mo ści, któ ra ma być do star czo na, mógłbyś do dać po niż szy wiersz do 
pli ku kon f i gu ra cyj ne go m4: 

define( 1 confSEPARATE_PROC 1 ,'true') 

W pli ku sendmail. cf utwór zony zo stałby od pow iedni wpis: 

0 ForkEachJob=true 

Po niż sza li sta opi su je po wszech nie sto so wa ne opcje plikuwejściowegodlamakroge 
ne ra to ra m4 (i ich od po wied ni ki w pli ku wy jś cio wym sendmail.cf): 

confMIN_FREE_BLOCKS (MinFreeBlocks) 

Cza sa mi zda rza się, że ja kiś problem unie mo żli wia na tych mia sto we do rę cze nie 
wia do mo ści, któ re są ko lej ko wa ne w bu fo rze pocz ty. Je żeli twój host pocz to wy 
prze twa rza dużo pocz ty, bu for może uro snąć to ta kich ro zmiarów, że zaj mie cały 
sys tern pli ków dla nie go prze zna czo ny. Aby temu za po biec, sendmail udostęp nia 
opcję conf MIN_FREE_BLOCKS, dzięki której można określić minimalną liczbę 
wol nych blo ków dys ku twar de go, przy ja kiej wia do mość zo sta nie przy ję ta. Po¬ 
zwą la ci to mieć pew ność, że sendmail nig dy nie wypełni całego sys te mu pli ków, 
na któ rym znaj du je się ka ta log bu fo ra. (Do my śl nie: 100). 

confME_TOO (MeToo) 

Gdy jest roz wi ja ny cel pocz ty, na przykład alias ad re su e-ma il, zda rza się, że na 
liście odbiorców pojawi się nadawca. Ta opcja określa, czy autor wiadomości 
otrzyma ko pię, je żeli po ja wi się na roz wi nię tej liś cie odb iorców. Do pusz czai ne 
war to ści to „true" i „fal se". (Do my śl nie: fal se). 
eon fMAX_DAEMON_C HIL DREN (MaxDaemonChildren) 

Gdy sendmail odbiera połączenie SMTP z hosta zdalnego, tworzy nową kopię 
programu do obsługi przychodzącej wiadomości. W ten sposób możliwe jest 
przetwarzanie przez sendmaila wielu jednocześnie przychodzących połączeń. 
Choć jest to przy dat ne, ka żda nowa ko pia sendmaila zaj mu je pa mięćkom pu te ra. 
Jeżeli zostanie odebrana niezwykle duża liczba połączeń ze względu na jakiś 
błąd lub atak złośliwca, możliwe, że sendmail zajmie całą pa mięć sys te mu. Ta 
opcja pozwala ci ograniczyć maksymalną liczbę demonów potomnych, które 
mogą zo stać utwo rzo ne. Gdy licz ba ta zo sta nie osiągnię ta, nowe połączę nia będą 
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odrzucane, aż któryś z pr oce sów po tom nych za ko ńczy pra cę. (Do my śl nie: nie 
zdefiniowana). 

confSEPARATE_PROC (ForkEachJob) 

W cza sie prze twa rza nia ko lej ki pocz ty i wysyłania wia do mo ści, s endmail prze- 
twa rza po jed nej wia do mo ści. Gdy ta opcja jest włączo na, s endmail bę dzie two¬ 
rzył nową ko pię pro ce su dla ka ż dej do star cza nej wia do mo ści. Jest to szc ze gó lnie 
przy dat ne, gdy ist nie je kil ka wia do mo ści, któ re stoją w ko lej ce ze wzglę du na 
pro blem z ho stem do ce lo wym. (Do my śl nie: fal se). 

confESMTP_LOGIN_MSG (SmtpGreetingMessage) 

Gdy jestre alizo wa ne połączę nie zsendmailem, wysyłane są po zdro wie nia. Do my- 
ślnie wiadomość ta za wie ra na zwę ho sta, na zwę agen ta prze syłającego pocz tę, 
nu mer wer sji sendmaila, lo kal ny nu mer wer sji i ak tu alną datę. RFC-821 okre śla, że 
pierw sze słowo po zdro wień po win no być pełną nazwą do me nową, ale po zo stała 
czę ść może być skon fi gu ro wa na we dle ży cze nia. Możesz tu okre ślić ma kras end- 
maila. Na sku tek uży cia - zo staną roz wi nię te. Je dyną osobą, kt óra zo ba czy tę wia¬ 
domość, jest administrator systemu diagnozujący problemy z dostarczaniem 
poczty lub ciekawscy zainteresowani wykryciem konfiguracji twojejmaszyny. 
Możesz uroz ma icić to nud ne za da nie, do dając do po zdro wień ja kieś dow cip ne 
powiedzenia. Słowo „ESMTP" będzie wstawione przez sendmaila pomiędzy 
pierwsze idru giesłowo,abyzasygnalizowaćzdalnemuhostowi,żeobsługujemy 
pro to kół ESMTP. (Domyślnie: $j Sendmail $v/$Z; $b). 

Użyteczne konfiguracje sendmaila 

Istniejewielemożliwych konfigu rac]isendmaila.Tu taj po każemy jedynie kil ka ważnych 
ty pów kon fi gu ra cji, któ re będą uży tęcz ne w wie lu in sta la cjach sendmaila. 

Ufa my użyt kow ni kom, że ustawią pole From: 

Cza sem war to nad pi sać po le F r om : w wy chodzącej wia do mo ści. Załóżmy, że masz 
pro gram ge ne rujący wia do mo ści, opar ty na WWW. Zwy kle wia do mość wy da je się 
pochodzić od użytkownika, który jest właścicielem procesu serwera WWW. 
Możemy okre ślić ja kiś in ny ad res żr odłowy, aby wy da wało się, że pocz ta po cho dzi 
od ko goś in ne go lub spod in ne go ad re su na tej ma szy nie. s endmail po zwa la wska zać 
uży t ko wnikó w, któr y m mo żna po wie rzy ć ro bie nie cze goś ta kie go. 

Funkcjause_ct_filepo zwa la na okre śle nie i uży cie pli ku za wie rające go na zwy za¬ 
ufa nych uż ytk owników. Do my śl nie za ufa na jest nie wiel ka liczba użyt kowników (na 
przykład root). Domyślna nazwa pliku wykorzystywanego przez tę funkcję to 
/etc/mail/trusted-user w sys te mach wy ko rzy stujących ka ta log kon fi gu ra cyj ny/etc/ma¬ 
il/, a / etcI'sendmail.ct - w po zo stałych. Na zwę i lo ka li za cję te go pli ku możesz okre ślić, 
nadpisującdefinicjęconf CT_FILE. 

Aby włączyć tę funkcję, dodaj FEATURE (use_ct_file) do swojego pli ku send- 
mail.mc. 
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Zarządzaniealiasamipocztowymi 

Aliasy pocztowe są silną funkcją, pozwalającą na przekierowywanie poczty do 
skrzy nek pocz to wych o al ter na ty w nych na zwach uż ytkowników lub procesów na 
hoście docelowym. Na przykład powszechne jest przekierowywanie komentarzy 
i uwag na te mat ser we ra WWW na kon to „ web ma ster". Czę sto na do ce lo wej ma szy¬ 
nie nie ist nie je użyt kow nik „web ma ster", a jest to alias in ne go użyt kow ni ka. In ne 
popularnezastosowa niealiasówpocztowychspotykamywprogramachserwerów 
list dys ku syj nych, w któ ry ch alia sy kie rują pocz tę przy chodzącą do pro gra mu ser- 
we ra list w ce lu obsłużę nia. 

Aliasy są zapisywane w pliku /etc/alias. Program s endmail przegląda ten plik, by 
stwierdzić, jak obsłużyć przychodzące wiadomości. Jeżeli znajdzie w nim wpis 
zgod ny zad res em w wiadomości, prze kier owu je wiadomość we wskazane miejsce. 

Aliasy pełnią trzy funk cje: 

• Sta nowią skr ót lub do brze znaną na zwę po zwal ające na ad res owa nie pocz ty do 
jed nej lub kil ku osób. 

• Po zwa łają na wy woływa nie pro gra mu z wia do mo ścią jako jego pa ra me trem we jś- 
ciowym. 

• Po zwal ają na przesłanie wia dom ości do pli ku. 

Do zachowania zgodności z RFC, wszystkie systemy potrzebują aliasów dla 
użytkowników Postmaster i MAILER-DAEMON. 

Gdy de fin iuje sz aliasy wy wołujące pro gramy lub piszące do programów, zaw sze 
pilnuj bezpieczeństwa, po nie w aż sendma il działa prze waż nie z pra wami ro ota. 

Szczegóły do tyczące aliasów pocz tow ych możesz zna leźć na stro nie podręcz nika 
elektronicznego aliases(5). Przykład owy plika/Msesjestpokazanyponiżej. 

Przykład 18-4. Przykład o wy plik alia ses 

• 

# Ponidsze dwa aliasy muszd byd obecne dla zachowania 

# zgodnodci z RFC. Wadne jest, by wskazywany na 'osobO', która 

# czyta regularnie pocztu 

# 

postmaster: root # wpis wymagany 

MAILER-DAEMON: postmaster # wpis wymagany 

# 

# 

# demonstracja rodnych typów aliasów 

# 

Usenet: janet # alias dla osoby 

admin: joe,janet # alias dla kilku osób 

newspak-users: :include:/usr/lib/lists/newspak # odczytywanie odbiorców z 

# pliku 

changefeed: |/usr/local/lib/gup # alias wywodujdcy program 

complaints: /var/log/complaints # alias zapisujdcy wiadomodd 

# do pliku 

Zaw sze, gdy ak tu alizujesz plik /etc/aliases , pa mięt aj, by uruc homić po lec enie: 

# /usr/bin/newaliases 
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w ce lu prze bu do wa nia ba zy da nych uży wa nej we w nętrz nie przezsendmail . Po le ce 
nie /usr/bin/nezvaliases jest do wiąza niem sym bo licz nym do wy ko ny wal ne go pro gra- 
mu s endmail i ta kie wy wołanie działa ana lo giez nie do na stę pujące go: 

# /usr/lib/sendmail -bi 

Folecenienewaliases jest po prostu wy god niej sze. 

Używanieinteligentnegohosta 

Czasem host napotyka pocztę, której nie jest w stanie doręczyć bezpośrednio do 
żąda ne go ho sta. Dla te go je den host w sie ci po wi nien zarządzać prze syłaniem wia- 
do mo ści do hostów zdał nych, z któr ymi się trud no połączyć. Jest to wy god niej sze 
niż da nie całko wi tej swobody wszyst kim ho storn, gdyż wte dy ka żdy host nie za le 
żnie po dej mo wałby nie ustań ne pró by na wiąza nia ta kie go połączę nia. 

Istnieje kilka ważnych powodów, które przemawiają za posiadaniem hosta 
zarządzające go pocztą. Możesz upro ścić zarządza nie, na wet je śli masz tył ko je den 
host z pocztą skonfigurowaną w taki sposób, by było wiadomo, jak obsługiwać 
wszyst kie ty py pro to kołów pocz to wych, jak UUCP, Usenet itp. Wszyst kie po zo stałe 
hosty muszą obsługiwać wtedy tylko jeden protokół, przez który będą wysyłały 
swoją pocz tę do ta kie go cen trał ne go ho sta. Ho sty pełniące ro lę ta kie go cen trał ne go 
ru tera pocz to we go i przekaźnika pocz ty są nazywane hostamiinteligentnymi (ang. 
smart hosts). Jeżeli posiadasz inteligentny host, który przyjmuje od ciebie pocztę, 
możesz wy syłać mu do wolną pocz tę, a on obsłuży ru ting i prze ka za nie tej wia do mo¬ 
ści do żądanejlokalizacjizdalnej. 

Innymdobrymzastosowa nieminte ligentne go hosta jestzarządza nie prze syłaniem 
pocz ty przez pry wat ny fi re wali. Fir ma może za in sta lo wać sieć wy ko rzy stującą nie 
za re je stro wa ne ad re sy IP. Sieć pry wat na może być podłą czo na do In ter ne tu przez fi- 
re wali. Wy syłanie pocz ty do i z hostów w sie ci pry wat nej do świa ta ze w nętrz ne go 
za po mocą SMTP nie byłoby mo żli we w ty po wej kon f i gu ra cji, po nie waż ho sty nie są 
w stanie przyjąć lub nawiązać bezpośredniego połączenia sieciowego z hostami 
wlnternecie.Firmamożezdecydowaćsięnazainstalo wa nie fi re wal la,którybędzie 
pełnił f unk cję in te li gent ne go ho sta pocz to we go. In te li gent ny host działający na fi re - 
wallu jest w stanie zestawiać bezpośrednie połączenia sieciowe między hostami 
wsiecipry wat nej ahostamiwłnternecie.Inteligentyhostprzyjmo wałby wia do mo¬ 
ści zar ów no z sie ci pry wat nej, jak i z In ter ne tu, za cho wy wał je lo kał nie, a na stęp nie 
obsługi wał wysyłaniebezpośred nio doodpowied nie go ho sta. 

In teł ige ntne ho sty są zwy kle używ ane wte dy, gdy za wiodą już wszel kie in ne me 
tody do ręc zenia. W przy padku fir my z sie cią pry watną naj pierw war to spr óbować 
do stare zyć pocz tę bez poś rednio, a je żeli to się nie uda, wysłać ją do in teł ige ntnego 
ho sta. Zmniejszy się ruch do ho sta in teł ige ntnego, po niew aż po zos tałe ho sty mogą 
wy syłać pocz tę bez poś rednio do in nych ho stów w sie ci pry watnej. 

s endmail używa prostej metody konfigurowania inteligentnego hosta za pomocą 
funk cjiSMART_HOST.Zastosujemyjąprzyim plementacjikonfiguracjibro waru wir 
tualnego. Istotna część naszej konfiguracji definiująca inteligentny host jest nas tę- 
pująca: 



334 


Roz dział 18: Sendma il 


define('SMART_HOST', 'uucp-new:moria') 

LOCAL_NET_CONFIG 

# Ta reguDa sprawia. De caDa poczta lokalna bDdzie 

# dostarczana za pomocD protokoDu SMTP, a wszystko inne 

# bDdzie szDo przez inteligentny host. 

R$* < @ $* .$m. > $* $#smtp $@ $2.$m. $: $1 < @ $2.$m. > $3 

Makro SMART_HOST po zwala ci po dać host, przez który po winna być prze syłana 
cała pocz ta wy chodząca, której nie mo żna do stare zyć bez po śred nio. Mo żna w nim 
rów ni eż po dać uży wa ny przez hosta pro tokół trans port owy. 

W naszej konfiguracji używamy protokołu uucp-new do połączenia przez UUCP 
z ho stem moria . Gdy by śmy chcie li skon f i gu ro waćsendmail , aby uży wał in te li gent ne- 
go ho sta opar te go na SMTP, za miast po wy ż sze go na pi sa li by śmy: 

define('SMART_HOST','mail.isp.net') 

Nie mu simy po daw ać SMTP ja ko pro tokołu trans port owe go, gdyż jest to protokół 
domyślny. 

Czy wiesz, co ro bi ma kro LOCAL_NET_CONFlG i re guła pod staw iania? 

Ma kro LOCALNE T_CONF IG po zwa la ci ręcz nie do da wać do twojej kon fi gu ra cji re 
guły pod sta wia nia sendmaila, de fi niujące które pocz ty po win ny po zo stać w lo kal- 
nym sys te mie pocz to wym. W na szym przykładzie uży liś my re guły, do której pa sują 
wszyst kie ad re sy, w kt ór ych host na le ży do na szej do me ny (. $m.), i do ko nu je my 
pod sta wie nia, dzię ki któr emu wia do mo ści są wysyłane bez po śred nio do pro gra mu 
wy sy łające go SMT P . W tej sy tu acji wszel kie wia do mo ści dla ho sta z na szej do me ny 
są kie ro wa ne na tych miast do pro gra mu wy syłające go SMTP i prze ka zy wa ne do da¬ 
ne go ho sta, i nie prze chodzą przez in te li gent ny host, co jest drogą do my ślną. 

Zarządzanieniechcianymiiniepotrzebny mi pocztami (spam) 

Jeżeli zapisałeś się do pocztowej listy dyskusyjnej, umieściłeś swój adres e-mail 
w wi try nie WWW lub wysłałeś ar ty kuł do gru py Usenet, bar dzo praw do po dob ne, 
że za czniesz do sta wać nie chcia ne pocz ty re kła mo we. Obec nie niemało lu dzi trud ni 
się wy szu ki wa niem ich w sie ci adr esów pocz to wych, do da wa niem ich do list, czy 
sprze da wa niem f ir mom re kła mującym swo je pro duk ty. Ten ro dzaj ma so we go wy¬ 
syłania pocz ty na zy wa ny jest po pu lar nie spam min giem. 

Dar mo wy elek tro nicz ny słów nik in for ma tycz ny (Free On-Li ne Dic Ho na ry ofCom pu- 
ting ) po da je na stę pującą de fi ni cję spa mu*: 

2. (za wę że nie zna cze nia 1, po wy żej) Bez kar ne wysyłanie du żej licz by nie pożąda nych 
wia do mo ści e-ma il w celu pro mo cji pro duk tu lub usługi. Spam w tym zna cze niu jest od- 
po wied nikiem pocz ty-śmie cia, wysyłanej do „użytków ni ka". 

Wraz z ko mer cyj nym roz wojem sie ci wla tach 90., po ja wiły się osoby ofe rujące spam ming 
jako „usługę" fir mom, któ re chcą się re kła mo wać w sie ci. Robią to przez wysyłanie wia do- 
mo ści pod ad re sy e-ma il ze swo jej li sty, gru py Usenet czy li sty pocz to wej. Ta kie prak tyki 


Słownik tenmożnaznaleźćwposta ci pakietu wdys try buqachLinuksalub na jego stron iemacierzystej 
http://zvombat.doc.ic.ac.uk/foldoc/. 
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wywołały obu rze nie, a na wet agre syw ne re ak cje wie lu uży tkowników sie ci prze ciw ko 
uprą wiającym spam ming. 

Na szczę ście sendmail za wie ra me cha ni zmy pomocne w walce z nie chcianą pocztą. 

Czarnalista 

Czarna lista (ang. Real-time Blackhole list - RBL) jest dostępną publicznie usługą, 
która ma pomóc w ogra ni cze niu roz syłania nie chcia nych re kłam. Ad re sy na da wców 
spa mu i ho sty, kt óre udało się roz po znać, są ujaw nia ne w In ter ne cie w po sta ci ba zy 
da nych, doktórejmożnazadawaćzapytania.Bazapo wsta je wy siłkiem ludzi,którzy 
dostali nie chcianą pocz tę spod ja kie goś ad re su e-ma il. Na liś cie po ja wiają się też 
głów ne do me ny, ze wzglę du na wpad ki w za bez pie cza niu się przed przyj mo wa- 
niem spa mu. Choć nie którzy na rze kają na sposób se lek cji in for ma cji przez oso by 
utrzymujące listę, jest ona bardzo popularna, a niezgodności są zwykle szybko 
wyłapy wa ne. Szc ze goły na te mat działania usługi mo żna zna le źć na stro nie ma cie 
rzy stej jej twórców - pro jek tu Ma il Abu se Pro tec tion Sys tern (MAPS) pod ad re sem 
http://maps.vix.com/rbl/. 

Je żeli włączysz tę funk cję, sendmail bę dzie spraw dzał ad res nadaw cy ka ż dej przy- 
chodzącej wia do mo ści i por ów ny wał go z czarną listą, by stwier dzić, czy ma przyjąć 
wia do mość. Je żeli tw ój ośro dek jest du ży i ma wie lu uży tkowników, to dzię ki tej 
funk cji możesz za osz czę dzić wie le miej sca na dys ku. Ja ko pa ra metr przyj mu je ona 
na zwę ser we ra, z któ re go ma ko rzy stać. Do my śl nie jest to rbl.maps.vix.com . 

Aby skonfigurować czarną listę, dodaj poniższe makro do swojego pliku send¬ 
mail.mc: 

FEATURE(rbl) 

Gdy byś chciał po dać in ny ser wer RBL, mógłbyś za pis ać de klar ację w na stęp ujący 
sposób: 

FEATURE(rbl, 'rbl.host.net') 

Baza dostępu 

Alternatywnym sys te mem, któ ry ofe ru je wię kszą ela stycz ność i kon tro lę kosz tern 
ręcz nej konfi gura cji, jestfunkcjaaccess_db. Ba za dostępu po zwala na skon figuro¬ 
wa nie host ów lub użytkowników, od których przyj mu jesz pocz tę i na rzecz których 
pocz tę przekazujesz. 

Kon tro la nad tym, do ko go prze ka zu jesz pocz tę, jest wa żna, gdyż jest to in na tech ni- 
ka powszechnie używana przez hosty spammujące do obejścia opisanej właśnie 
czar nej li sty. Za miast wy syłać do cie bie pocz tę bez po śred nio, spam me rzy prze syłają 
ją przez ja kiś in ny, nie podej rza ny host, który na to po zwa la. Przy chodzące połączę 
nie SMTP nie po cho dzi od ho sta spam mujące go, a od ho sta, przez który jest prze ka- 
zy wa ne. Aby być pew nym, że twój host nie bę dzie uży wa ny w ten sposób, po wi nie 
neś przekazywać pocztę tylko na rzecz znanych hostów. Sendmail w wersji 8.9.0 
i now szych ma do my śl nie wyłączo ne prze ka zy wa nie, a więc bę dziesz mu siał wy ke 
rzy stać ba zę do stę pu, by włączyć prze ka zy wa nie dla poszczególnych hostów. 
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Ogólna za sada jest pro sta. Gdy zo stan ie odeb ranę no we przy chodzące połączę nie 
SMTP, sendmail od czyt uje in form acje z nagłów ka i spraw dza ba zę do stępu, by zo- 
bac zyć, czy po win ien przyjąć wia dom ość. 

Ba za dostępu to zbiór re guł opis ujących, co robić, gdy wia dom ość zo stan ie odeb rana 
z okreś lone go ho sta. Do myś lny plik kon troli do stępu no si na z wę/etc/mail/access. Ta¬ 
bela ma pro sty for mat. Ka żdy wiersz ta beli za wiera re gulę do stępu. Le wa stro na ka¬ 
żdej re guły to wzo rzec używ any do do pas owa nia ad resu nadaw cy przy chodzącej 
pocz ty. Może to być pełny ad res e-ma il, na zwa ho sta lub ad res IP. Po pra wej stro nie 
wy mień ione jest działanie, ja kie na leży podjąć. Ist nieje pięć typ ów działań, które 
możesz skon fig uro wać. Są to: 

OK 

Przy ję cie wia dom ości. 

RELAY 

Przy ję cie wia do mo ści z tego ho sta lub od tego użyt kow ni ka, na wet je żeli nie jest 
prze zna czo na dla na sze go ho sta. To ozna cza przy ję cie wia do mo ści do prze ka za nia 
do in nych ho stów. 

RE]ECT 

Odmo wi enie przy jęc ia z ogólną in form acją. 

DISCARD 

Od rzu ce nie wia dom ości za po mocą pro gramu wysyłającego $#discard. 

###do wolny tekst 

Zw róc en ie błędu z wy kor zyst aniem ### jako kodu błędu (kt óry po win ien być 
zgod ny z RFC-821) i „do woln ego tek stu" jako treś ci wia dom ości. 

Przykład o wy plik /etc/mail/access może wyglądać tak: 


friends@cybermail.com REJECT 
aol.com REJECT 

207.46.131.30 REJECT 

postmaster@aol.com OK 

linux.org.au RELAY 


Ta przykładowa konfiguracja odrzuca wszelkie wiadomości odebrane z adresu 
friends@cybermail.com, od hostów z domeny aol.com i od hosta o numerze 
207.46.131.30. Na stęp na re guła przyj mu je pocz tę od -postmaster@aol.com, po mi mo że 
pocz ta z całej do me ny jest od rzu ca na. Ostat nia re guła po zwa lanaprzekazy wa nie 
pocz ty z do wol ne go ho sta do do me nylinux.org.au. 

Aby uakt y wnić funk cję ba zy do stępu, użyj w swo im pli kusendmail.mc po niżs zej de 
klaracji: 

FEATURE (access_db) 

Domyślnadefinicjatworzybazędanych,używającpolecenia hash -o /etc/ma¬ 
il/access, kt óre ge ne ru je prostą ba zę ze zwykłego pli ku tek sto we go. Jest to wy- 
star czające w wię k szo ści prz y pad ków. Ist nieją in ne opcje, które możesz roz wa żyć, 
jeżeli zamierzasz stworzyć dużą bazę dostępu. Szczegóły znajdziesz w książce 
o sendmailu lubinnejdokumentacjitegoprogramu. 
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Wyłącza nieotrzy mywa nia poczty przez użytkowników 

Je śli masz uży tkowników lub au to ma tycz ne pro ce sy, któ rym wol no wy syłać pocz tę, 
ale nie otrzy my wać, cza sem war to za blo ko wać przyj mo wa nie wia do mo ści dla nich 
prze zna czo nych. Wte dy na dys ku nie byłyby za pi sy wa ne nig dy nie czy ta ne pocz ty. 
Funkcja blacklist_recipients w połączeniu z access_db pozwala ci wy¬ 
łączyć od bie ra nie pocz ty przez uży tko wnikó w lo kal nych. 

Aby włączyć tę funkcję, dodajesz poniższe wiersze do swojego pliku sendmail. mc, 
o ile ich tam jesz cze nie ma: 

FEATURE (access_db) 

FEATURE(blacklist_recipients) 

Aby zablokować otrzymywanie poczty przez lokalnego użytkownika, dodaj do¬ 
tyczące go szczegóły dobazydostępu. Zwy kle uży wasz wpi su ty pu ###, kt óry z wr a ca 
sen sow ny ko mu ni katblędu do nadaw cy, takby wie dział, że pocz ta nie zo stała do star¬ 
czo na. Ta funk cja do ty czy w ró wn ym stop niu wszys t kich uży tko wników wirtu al nych 
do men pocz to wych i mu sisz w spe cy fi ka cji ba zy da nych dołączyć wir tu alną domenę 
pocztową. Przykład o we wpi sy w pli ku /etc/mail/access mogłyby być na stę pujące: 
daemon 550 Daemon does not accept or read mail. 

flacco 550 Mail for this user has been administratively disabled. 

grump@dairy.org 550 Mail disabled for this recipient. 

Konfigurowanieobsługiwirtualnych domen pocztowych 

Obsługa wir tu al nych do men pocz to wych po zwa la ho sto wi na przyj mo wa nie i de 
star cza nie pocz ty na rzecz sze re gu róż ny ch do men, tak jak by działało kil ka od dziel¬ 
nych ho st ów. Funk cja ta, w połączę niu z obsługą wir tu al nych serwrów WWW, jest 
wy ko rzy sty wa na zwłasz cza przez dosta wców apli ka cji in ter ne to wych. Jest jed nak 
tak łatwa w kon fi gu ra cji, że war to się z tym za po znać, bo nig dy nie wia do mo, czy nie 
znaj dziesz się w sy tu acji, gdy bę dziesz mu siał uru cho mić wir tu alną li stę pocz tową 
dla swoje go ulu bio ne go pro jek tu Linuk sa. A więc opi sze my tu ten pro ces. 

Przyj mowa niepoczty dla in nych do men 

Gdy sendmail od bie rze wia do mość e-ma il, poro wnuje host ad re sa ta za war ty w na¬ 
głów ku pocz ty z nazwą ho sta lo kal ne go. Je żeli pa sują, sendmail przyj mu je wia de 
mość do dostarczenia lokalnie. Je żeli są różne, sendmail może przyjąć wiadomość 
i próbować przekazać ją do celu (szczegóły dotyczące konfiguracji s endmaila do 
przyj mo wa nia pocz ty w ce lu jej prze ka za nia znaj dziesz we wcze śniej szym pod roz- 
dzia le Bazadostępu ). 

Gdy byś chciał skon fig uro wać do meny wir tua lne, mu sisz przede wszyst kim prze 
kon aćsendmail , że po win ien przyj mow ać pocz tę dla do men, kt óre obsługuj emy. Na 
szczę ście do syć łatwo jest to zro bić. 

Funkcja use_cw_f i le po zwala nam okreś lić na zwę pli ku, w któ rym znaj dują się 
na zwy do men, dla których sendmail przyj muje pocz tę. Aby skon fig uro wać tę funk¬ 
cję, do swo jego pli ku sendmail. mc do daj na stęp ującą de klar ację: 


FEATURE(use cw file) 
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Do myś Ina na zwa pli ku to /etc/mail/local-host-names dla dys tryb ucji używ ających ka- 
talogukonfiguracyjnego /etc/mail/ lub /etc/sendmail.cw dla tych, które go nie używ ają. 
Alternatywnie możesz określić nazwę i lokalizację tego pliku, nadpisując makro 

conf CW_FILE: 

define('confCW_FILE 1 ,'/etc/virtualnames') 

Załóżmy, że używ amy do myś lnej na zwy pli ku. Gdy byś my chcie li obslugiw ać wir- 
tua Iną pocz tę dla do menbovine.net, dairy.org i artist.org, musielibyśmy stworzyć 
na stęp ujący plik /etc/mail/local-host-names: 

bovine.net 

dairy.org 

artist.org 

Gdy to zrobimy i utworzymy odpowiednie rekordy DNS, gdzie nazwy domen 
wska żują na nasz host, s endmail bę dzie przyj mowal pocz tę prze znać zoną dla nich 
tak, jak by była prze znać zona dla na szej rze czy w ist ej do meny. 

Przekazy waniepocz ty zwirtual nych do men pocztowych pod innead resy 

Funk cja sendmaila virtusertable usta wia obsługę tabli cy uż ytkowników wir tu- 
al nych, gdzie kon fi gu ru je my wir tu al ne do me ny pocz to we. Tabli ca uż ytk owników 
wir tu alnych od wzo ro wu je przychodzące pocz ty prze zna czo nedlaużytkownik@host 
na innyużytkoumik@innyhost. Możesz to trak to wać jak za awan so wa ne alia sy pocz to- 
we, prze kie ro wujące nie tył ko użyt kow ni ka, ale ta kże do me nę. 

Aby skon figuro wać funkcję virtusertable, do daj do swojego pli ku sendmail .mc 
na stęp ujący wiersz: 

FEATURE(virtusertable) 

Domyślnie plik zawierający reguły translacji nosi nazwę /etc/mail/virusertable. 
Możesz ją zmienić, podając odpowiedni argument w makrodefinicji. Szczegóły 
związa ne z do stępn ymi opcja mi znaj dziesz w do kum enta c)isendmaila. 

For mat ta blicy uż y tko wników wir tua lny ch jestbar dzo pro sty. Le wa stro na ka żd ego 
wier sza za wiera wzo rzec re prez entujący oryg ina lny ad res, a pra wa stro na za wiera 
wzo rzec, na ja ki tam ten ad res zo stan ie od wzór owa ny. 

Po niżs zy przykład po kaz uje trzy mo żliwe ty py wp isów: 

samiam@bovine.net colin 

sunny@bovine.net darkhorse@mystery.net 
@dairy.org mail@jhm.org 

@artist.org $l@red.firefly.com 

W tym przykładzie obsługuje my do me ny wir tu al nebovine.net, dairy.org i artist.org . 
Pierw szy wpis prze kie ro wu je pocz tę prze syłaną do użyt ko w ni ka do me ny wir tu al nej 
bovine.net na użyt kow ni ka lo kal ne go kom pu te ra. Dru gi wpis prze kie ro wu je pocz tę 
użytkownika tej samej domeny wirtualnej na użytkownika innej domeny. Trzeci 
przykład prze kie ro wu je całą pocz tę ad re so waną do użytków ni ka do me ny wir tu al nej 
dairy.org na po je dyn czy ad res zdał ny. No i ostat ni wpis prze kie ro wu je całą pocz tę 
użytków ni ka z do me nyartist.org na te go sa me go użyt kow ni ka w in nej do me nie. Na 
przykład julie@artist.org zo stałaby prze kie ro wa na na ju Ue@red.firefly.com . 
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Testowaniekonfiguracji 

Polecenie m4 przetwarza pliki makrodefinicji wyłącznie zgodnie z własnymi re¬ 
gułami składnio wy mi, nic bo wiem nie wie o po praw nej skład ni s endmaila. Tak więc, 
je żeli coś zro biłeś źle w pli ku ma kro de fi ni cji, i tak nie bę dzie żad nych kom unikatów 
błędów. Z te go po wo du wa żne jest dokład ne prze te sto wa nie twojej kon fi gu ra cji. Na 
szczę ście w s endmailu robi się to łatwo. 

sendmail po sia da tryb „te sto wa nia ad re su" po zwa łający na spraw dze nie na szej kon- 
figu ra cji i zi den ty fi ko wa nie wszel kich błędów. W tym trybie działania wy woluje my 
sendmail z wier sza po le ceń, a on pro si nas o poda nie re guły i ad re su do ce lo we go. Na¬ 
stęp nie prze twa rza ad res, uży wając za da nej re guły pod sta wie nia i wy świe tła wy nik 
po prze jś ciu ka ż dej re guły. Aby włączyć ten tryb w sendmailu , wy wołuje my go z ar- 
gumentem-bt. 

# /usr/sbin/sendmail -bt 

ADDRESS TEST MODĘ (ruleset 3 NOT automatically invoked) 

Enter <ruleset> <address> 

> 

Do my śl nie jest uży wany plik kon figura cy]ny /etc/mail/sendmail.cf. Możesz po¬ 
dać in ny plik kon fi gu ra cyj ny, uży wając ar gu men tu - C. Aby spraw dzić naszą 
konfigurację,musimy wy brać ad re sy do prze twa rza nia, które po wiedzą nam, 
że na sze wy ma ga nia co do obsługi pocz ty zo stały spełnio ne. Aby to po ka zać, 
przetestujemy naszą bardziej skomplikowaną konfigurację UUCP pokazaną 
w przykładzie 18-2. 

Naj pierw spraw dzi my, czy sendmail jest w sta nie do star czyć pocz tę do użytkowników 
lo kal nych. Spo dzie wa my się, że wszyst kie ad re sy będą prze kształco ne tak, by ko rzy- 
stały z pro gra mu wy syłające go localna na szej ma szy nie: 

# /usr/sbin/sendmail -bt 

ADDRESS TEST MODĘ (ruleset 3 NOT automatically invoked) 

Enter <ruleset> <address> 

> 3,0 isaac 


rewrite: 

ruleset 

3 

input: 

isaac 


rewrite: 

ruleset 

96 

input: 

isaac 


rewrite: 

ruleset 

96 

returns: 

isaac 


rewrite: 

ruleset 

3 

returns: 

isaac 


rewrite: 

ruleset 

0 

input: 

isaac 


rewrite: 

ruleset 

199 

input: 

isaac 


rewrite: 

ruleset 

199 

returns: 

isaac 


rewrite: 

ruleset 

98 

input: 

isaac 


rewrite: 

ruleset 

98 

returns: 

isaac 


rewrite: 

ruleset 

198 

input: 

isaac 


rewrite: 

ruleset 

198 

returns: 

$# local 

$: isaac 

rewrite: 

ruleset 

0 

returns: 

$# local 

$: isaac 


Ten wy nik po ka zu je nam, jak sendmail prze twa rza pocz tę ad re so waną do isaac w na¬ 
szym sys te mie. Ka żdy wiersz przed sta wia in for ma cje prze ka za ne do ze sta wu re guł 
lub re zul tat uzy ska ny po prze jś ciu przez ze staw re guł. Wska za liś my sendmailowi, że 
chcie li by śmy użyć ze sta wu re guł 0 i 3 do prze kształcę nia ad re su. Ze staw re guł 0 jest 
wy woły wa ny nor mai nie, a wy wołanie ze sta wu 3 wy mu si liś my, po nie waż do my śl- 
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nie nie jest te sto wa ny. Ostat ni wiersz po ka zu je, że wy nik ze sta wu re guł 0 w rze czy- 
wi sto ści prze ka zu je do pro gra mu wy syłające go local, pocz tę ad re so waną do użyt¬ 
ków nikaisaac. 

Na stęp nie spraw dzi my pocz tę ad re so waną na ad res SMTP: isaac@vstout.vbrew.com . 
Po win niś my uzy skać ten sam wy nik co w po przed nim przykładzie: 

# /usr/sbin/sendmail -bt 

ADDRESS TEST MODĘ (ruleset 3 NOT automatically invoked) 

Enter <ruleset> <address> 

> 3,0 isaac@vstout.vbrew.com 


rewrite: 

ruleset 

3 

input: 

isaac 

@ 

vstout . vbrew . 

com 


rewrite: 

ruleset 

96 

input: 

isaac 

< 

@ 

vstout . 

vbrew 

. com 

> 

rewrite: 

ruleset 

96 

returns: 

isaac 

< 

@ 

vstout . 

vbrew 

. com 

. > 

rewrite: 

ruleset 

3 

returns: 

isaac 

< 

@ 

vstout . 

vbrew 

. com 

. > 

rewrite: 

ruleset 

0 

input: 

isaac 

< 

@ 

vstout . 

vbrew 

. com 

. > 

rewrite: 

ruleset 

199 

input: 

isaac 

< 

@ 

vstout . 

vbrew 

. com 

. > 

rewrite: 

ruleset 

199 

returns : 

isaac 

< 

@ 

vstout . 

vbrew 

. com 

. > 

rewrite: 

ruleset 

98 

input: 

isaac 

< 

@ 

vstout . 

vbrew 

. com 

. > 

rewrite: 

ruleset 

98 

returns: 

isaac 

< 

@ 

vstout . 

vbrew 

. com 

. > 

rewrite: 

ruleset 

198 

input: 

isaac 

< 

@ 

vstout . 

vbrew 

. com 

. > 

rewrite: 

ruleset 

198 

returns : 

$# local 

$: isaac 




rewrite: 

ruleset 

0 

returns: 

$# local 

$: isaac 





Znów test za koń czył się po prawn ie. Da lej spraw dzimy pocz tę kie ro waną na ad res 
ty pu UUCP: vstout!isaac. 

# /usr/sbin/sendmail -bt 

ADDRESS TEST MODĘ (ruleset 3 NOT automatically invoked) 

Enter <ruleset> <address> 

> 3,0 vstout!isaac 


rewrite: 

ruleset 

3 

input: 

vstout 


isaac 




rewrite: 

ruleset 

96 

input: 

isaac 

< 

@ 

vstout . 

UUCP > 



rewrite: 

ruleset 

96 

returns: 

isaac 

< 

@ 

vstout . 

vbrew . 

com . 

> 

rewrite: 

ruleset 

3 

returns: 

isaac 

< 

@ 

vstout . 

vbrew . 

com . 

> 

rewrite: 

ruleset 

0 

input: 

isaac 

< 

@ 

vstout . 

vbrew . 

com . 

> 

rewrite: 

ruleset 

199 

input: 

isaac 

< 

@ 

vstout . 

vbrew . 

com . 

> 

rewrite: 

ruleset 

199 

returns : 

isaac 

< 

@ 

vstout . 

vbrew . 

com . 

> 

rewrite: 

ruleset 

98 

input: 

isaac 

< 

@ 

vstout . 

vbrew . 

com . 

> 

rewrite: 

ruleset 

98 

returns: 

isaac 

< 

@ 

vstout . 

vbrew . 

com . 

> 

rewrite: 

ruleset 

198 

input: 

isaac 

< 

@ 

vstout . 

vbrew . 

com . 

> 

rewrite: 

ruleset 

198 

returns : 

$# local 


$: isaac 




rewrite: 

ruleset 

0 

returns: 

$# local 


$: isaac 




Ten test 

również 

się 

udał. Testy potwierdzają, że 

każda 

poczta przyjęta 


użytkowników lo kaln ych zo stan ie po prawn ie do stare zona bez wzglę du na for mat 
ad resu. Gdy byś zde fin iował aliasy dla two jego kom put era, na przykład ho sty wir¬ 
tualne, powinieneś powtórzyć testy dla każdej z alternatywnych nazw, pod jaką 
zna ny jest host, aby spraw dzić, czy również działają po prawn ie. 

Następnie sprawdzimy, czy poczta adresowana do innych hostów w domenie 
vbrew.com jest do stare zana bez poś rednio do te go ho sta przez pro gram wy syłający 
SMTP: 

# /usr/sbin/sendmail -bt 

ADDRESS TEST MODĘ (ruleset 3 NOT automatically invoked) 

Enter <ruleset> <address> 
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> 3,0 isaac@vale.vbrew.com 


rewrite 

ruleset 

3 

input: 

isaac 

0 

vale . vbrew . com 


rewrite 

ruleset 

96 

input: 

isaac 

< 

@ 

Q) 

i—1 

> 

. vbrew 

. com > 


rewrite 

ruleset 

96 

returns: 

isaac 

< 

@ 

vale 

. vbrew 

. com . 

> 

rewrite 

ruleset 

3 

returns: 

isaac 

< 

@ 

vale 

. vbrew 

. com . 

> 

rewrite 

ruleset 

0 

input: 

isaac 

< 

@ 

vale 

. vbrew 

. com . 

> 

rewrite 

ruleset 

199 

input: 

isaac 

< 

@ 

vale 

. vbrew 

. com . 

> 

rewrite 

ruleset 

199 

returns: 

isaac 

< 

@ 

vale 

. vbrew 

. com . 

> 

rewrite 

ruleset 

98 

input: 

isaac 

< 

@ 

vale 

. vbrew 

. com . 

> 

rewrite 

ruleset 

98 

returns: 

isaac 

< 

@ 

vale 

. vbrew 

. com . 

> 

rewrite 

ruleset 

198 

input: 

isaac 

< 

@ 

vale 

. vbrew 

. com . 

> 

rewrite 

ruleset 

198 

returns: 

$# smtp 

$6 

vale 

. vbrew 

. com 

/ 

$: isaac < @ 

vale 

. vbrew 

. com 


> 





rewrite 

ruleset 

0 

returns: 

$# smtp 


vale 

. vbrew 

. com 

/ 

$: isaac < @ 

vale 

. vbrew 

. com 


> 






Widzimy, że ten test przekierował wiadomość do pro gramu wy syłające go SMTP, 
który prze każe go bez poś rednio do ho sta vale.vbrew.comi użytk owni ka isaac. Ten 
test potwierdza, że nasza definicja L0CAL_NET_C0NFIG działa poprawnie. Wa¬ 
runkiem powodzenia tego testu jest rozwiązanie docelowej nazwy hosta, a więc 
w pli ku/etc/hosts\ub w lo kalnym DN S-ie mu si znaj dow ać się od pow iedni wpis. Aby 
zo bac zyć, co się sta nie, je żeli roz wiąza nie na zwy bę dzie nie moż li we, po daj emy nie 
znany host: 

# /usr/sbin/sendmail -bt 

ADDRESS TEST MODĘ (ruleset 3 NOT automatically invoked) 

Enter <ruleset> <address> 

> 3,0 isaac@vXXXX.vbrew.com 


rewrite: 

ruleset 

3 

input 

isaac 

0 

vXXXX . 

vbrew . 

com 






rewrite: 

ruleset 

96 

input 

isaac 

< 

@ 

vXXXX 

. vbrew 

. com 

> 





vXXXX. vbrew. com: 

Name 

server timeout 











rewrite: 

ruleset 

96 

returns 

isaac 

< 

@ 

vXXXX 

. vbrew 

. com 

> 





rewrite: 

ruleset 

3 

returns 

isaac 

< 

@ 

vXXXX 

. vbrew 

. com 

> 





= Ruleset 3,0 (3) status 75 












rewrite: 

ruleset 

0 

input 

isaac 

< 

@ 

vXXXX 

. vbrew 

. com 

> 





rewrite: 

ruleset 

199 

input 

isaac 

< 

@ 

vXXXX 

. vbrew 

. com 

> 





rewrite: 

ruleset 

199 

returns 

isaac 

< 

@ 

vXXXX 

. vbrew 

. com 

> 





rewrite: 

ruleset 

98 

input 

isaac 

< 

@ 

vXXXX 

. vbrew 

. com 

> 





rewrite: 

ruleset 

98 

returns 

isaac 

< 

@ 

vXXXX 

. vbrew 

. com 

> 





rewrite: 

ruleset 

198 

input 

isaac 

< 

@ 

vXXXX 

. vbrew 

. com 

> 





rewrite: 

ruleset 

95 

input 

< uucp-new : moria > isaac < (< 

vXXXX . vbrew . com > 

rewrite: 

ruleset 

95 

returns 

$# uucp- 

-new $@ moria $: 

isaac 

< 

@ 

vXXXX 

vbrew 

com 

rewrite: 

ruleset 

198 

returns 

$# uucp- 

-new $@ moria $: 

isaac 

< 

@ 

vXXXX 

vbrew 

com 

rewrite: 

ruleset 

0 

returns 

$# uucp- 

-new $@ moria $: 

isaac 

< 

@ 

vXXXX 

vbrew 

com 


Wynik jest zupełnie inny. Najpierw zestaw reguł 3 zwraca błąd wskazujący, że 
nazwa hosta nie może zostać rozwiązana. Następnie podejmowana jest próba 
obsłużę nia tej sy tu acji przez prze ka za nie do in nej funk cji na szej kon fi gu ra cji: in tdi- 
gentnego hosta. Zadaniem inteligentnego hosta jest obsłużenie wszelkich poczt, 
których nie da się do star czyć w in ny sp osób. Poda na w te ście na zwa ho sta nie da je 
się roz wiązać i re guły po ka żują, że pocz ta po win na zo stać prze ka za na do in te li gent 
ne go ho sta moria po przez pro gram wy syłający uucp-new. Nasz in te li gent ny host 
może mieć lep sze połączę nia i bę dzie wie dział, co zro bić z tym ad re sem. 
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Ostatni z na szych te stów po kaz uje, że ka żda pocz ta ad res owa na do ho sta spo za na¬ 
szej do meny jest prze kaz y wa na do na szego ho sta in tel ige ntnego. Po win ien on dać 
wy nik po dobny do te go z po przedn iego przykładu: 

# /usr/sbin/sendmail -bt 

ADDRESS TEST MODĘ (ruleset 3 NOT automatically invoked) 

Enter <ruleset> <address> 

> 3,0 isaac@linux.org.au 


rewrite: 

ruleset 

3 

input: 

isaac 

0 

linux . 

org . 

au 







rewrite: 

ruleset 

96 

input: 

isaac 

< 

@ 

linux 

. org 

au 

> 






rewrite: 

ruleset 

96 

returns: 

isaac 

< 

@ 

linux 

. org 

au 


> 





rewrite: 

ruleset 

3 

returns: 

isaac 

< 

@ 

linux 

. org 

au 


> 





rewrite: 

ruleset 

0 

input: 

isaac 

< 

i 

linux 

. org 

au 


> 





rewrite: 

ruleset 

199 

input: 

isaac 

< 

@ 

linux 

. org 

au 


> 





rewrite: 

ruleset 

199 

returns: 

isaac 

< 

@ 

linux 

. org 

au 


> 





rewrite: 

ruleset 

98 

input: 

isaac 

< 

@ 

linux 

. org 

au 


> 





rewrite: 

ruleset 

98 

returns: 

isaac 

< 

@ 

linux 

. org 

au 


> 





rewrite: 

ruleset 

198 

input : 

isaac 

< 

@ 

linux 

. org 

au 


> 





rewrite : 

ruleset 

95 

input : 

< uucp-new : moria > isaac 

< 

@ linux . org . au 

. > 


rewrite: 

ruleset 

95 

returns : 

$# uucp- 

-new $@ moria $ 

isaac < @ 

linux 

. org . 

au . 

> 

rewrite : 

ruleset 

198 

returns : 

$# uucp- 

-new $@ moria $ 

isaac < @ 

linux 

. org . 

au . 

> 

rewrite : 

ruleset 

0 

returns : 

$# uucp- 

-new $@ moria $ 

isaac < @ 

linux 

. org . 

au . 

> 


Wy nik te go te stu po kaz uje, że na zwa ho sta zo stała roz wiąza na i że zo stał on prze 
kazany do naszego inteligentnego hosta. Dowodzi to, że nasza definicja L0- 
CAL_NET_CONFIG działa po prawn ie i w obu sy tua cjach jest obsługiw ana do brze. 
Ten test także kończy się suk ces em, a więc możemy szczę śliw ie przyjąć, że na sza 
kon fig ura cja jest po prawna, i zacząć jej uży w ać. 

Eksploatowanie sendmaila 

De mo na sendmail mo żna uru cho mić na dwa spo so by. Je den to uru cha mia nie go z de 
mo na inetd. Dru gi, czę ściej używa ny, to uru cho mie nie sendmailajako sa mo dziel ne go 
de mo na. Czę sto zda rza się, że pro gra my wy syłające pocz tę wy wolu)ąsendmail ja ko 
po le ce nie uży t kow ni ka przyj mujące go do wysłania lo kał nie utwo rzoną pocz tę. 

Je żeli uruc hami asz sendmail ja ko sa mod zielne go de mona, wstaw po lec enie do pli ku 
rc. Wtedy de mon sendmaila uruchomi się w czasie startu komputera. Najczęściej 
używ ana skład nia to: 

/usr/sbin/sendmail -bd -qlOm 

Argument -bd mówi sendmailowi, że ma działać ja ko de mon. Pro gram roz gałęzi się 
i będzie działał w tle. Argument -qlOm mówi, by sendmail sprawdzał kolejkę co 
dzie sięć mi nut. Możesz po dać in ny czas spraw dza nia ko lej ki. 

Aby uruc homić sendmail z de mona sie ciow ego inetd, używa się na stęp ujące go wpi¬ 
su: 

smtp stream tcp nowait nobody /usr/sbin/sendmail -bs 

Argument -b s mówi sendmailowi, by używał pro tokołu SMTP na st din/st dout, co 
jest wy mag ane przy używ aniu z inetd. 
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Po lec enieraHiyzwy kle jest do wiąza niem sym boi iczny m do pli ku bi narn ego s endmail 
i jest wy godn iejszą po stacią wy wołania: 

# sendmail -q 

Gdy sendmail jest wy woły wany w ten sposób, prze twar za wszyst kie wia dom ości 
oczek ujące w ko lejce. Przy wy woły wan iu sendmaila z inetd, mu sisz ta kże stwo rzyć 
za danie cron, które co ja kiś czas uruc hamia po lec enie runq służące do obsługi bu fora 
poczty. 

Od pow iedni wpis w ta blicy cron po win ien przy pom inać coś ta kiego: 

# Uruchamiaj bufor poczty co piDtnaDcie minut 

0,15,30,45 * * * * /usr/bin/runq 

W większości instalacjiseudmaz/prze twa rza ko lej kę co 15 mi nut, co po ka za no w przy¬ 
kład o wym pli ku cron tab. Prze twa rza nie ko lej ki po le ga na próbie wysłania cze kaj ącej 
w niej wia do mo ści. 

Sztuczki i kruczki 

Istnieje wie le rze czy, któ re możesz ro bić, aby efek tyw ne zarządzać sendmai/em. W pa- 
kie cie sendmaila znaj du je się sze reg na rzę dzi do zarządza nia. Przyj rżyj my się naj waż¬ 
nie jszym z nich. 

Zarządza nie bu fo rem poczty 

Pocz ta, za nim zo sta nie wysłana, jest ko lej ko wa na w ka ta lo gu /var/spool/mc]ueue. Ka¬ 
ta log ten jest na żywa ny bufo rem pocz ty.Programseudmaf/pozwa la nawyświe tle nie 
li sty wszyst kich wia do mo ści znaj dujących się w ko lej ce i ich sta nu. 

Polecenie /var/bin/mailc] jest dowiązaniem symbolicznym do programu sendmail 
i działa tak samo jak wy wołanie: 

# sendmail -bp 

Wy nik po ka zu je ID wia do mo ści, jej roz miar, czas umiesz cze nia w ko lej ce, nadaw cę 
ikomunikatopisującyjejaktualny stan. Poniż szy przykład przed sta wia wiadomość 
cze kającą w ko lej ce ze wzglę du na ja kiś pro blem: 

$ mailq 

Mail Queue (1 reąuest) 

—Q-ID— --Size—-Q-Time--Sender/Recipient- 

RAA00275 124 Wed Dec 9 17:47 root 

(host map: lookup (tao.linux.org.au): deferred) 
tarry@tao.linux.org.au 

Ta wia dom ość znaj duje się wciąż w ko lejce, po niew aż nie mo żna zna leźć ad resu IP 
docelowegohosta. 

Możemy spo wod ować, że sendmail bę dzie prze twar zał wia dom ości znaj dujące się 
w ko lej ce, wy dając po lec enie /usr/bin/runq. 

Po lec enie nie po kaz uje żadn ego wy niku. sendmail roz poczn ie w tle prze twar zanie 
pocz ty znaj dującej się w ko lejce. 
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Wymuszanie prze tworzeniakolejkipocztowejnahościezdalnym 

Jeżeli używasz tymczasowego połączeniakomutowanego z Internetem, ale masz 
stały ad res IP, a host MX zbie ra twoją pocz tę w cza sie, gdy je steś rozłączo ny, przy da 
ci się wy mu sza nie na ho ście MX, by prze twa rżał ko lej kę pocz tową za raz po ze sta¬ 
wie niu two je go połączę nia. 

W dystrybucji sendmaila dołączo no mały pro gram w Perlu, któ ry ułatwia za da nie 
pro gra mom, obsługującym tę funk cję. Skryptefnz po zwa la osiągnąć mniej wię cej to 
samo na hoście zdalnym, co po lecenie raju/na ho ście lokalnym. Je żeli wy wołamy 
poleceniepokazanewponiż szym przykładzie: 

# etrn vstout.vbrew.com 

wy mus imy na ho ście vstout.vbrew.com prze twór zenie całej pocz ty prze znać zonej 
dla na szego kom put era, a cze kającej w ko lejce. 

Zwy kle po lec enie to do daje się do skryp tu ip-up PPP, tak by było wy kon y wa ne za raz 
po ze sta w ieniu połączę nia sie cio w ego. 

Analizowaniestatystykpoczty 

sendmail zbie ra da ne na te mat wiel ko ści ru chu pocz to we go i in for ma cje na te mat ho- 
stów, do których do star czył pocz tę. Ist nieją dwa po le ce nia po zwa łające na wy świe 
tle nie tej in for ma c)i:mailstats i hoststat. 

mailstats 

Polecenie mailstats wyświetla statystyki na temat liczby wiadomości przetworzo¬ 
nych przez sendmail.Na początku wy pi sy wa na jest da ta roz po czę cia przyj mo wa nia 
wia do mo ści, a po niej ta be la, kt óra za wie ra po jed nym wier szu dla ka ż de go skon fi- 
gu ro wa ne go pro gra mu wy syłające go pocz tę i wiersz po ka żujący su mę wszyst kich 
wia do mo ści. Ka żdy wiersz za wie ra osiem elementów: 


Pole 

Znaczenie 

M 

Numerprogramu wysyłającego (pro to kołu transportowego). 

msgsfr 

Licz ba wia do mo ści odebra nych przez pro gram. 

bytes from 

Łączna licz ba kilo bajtów wia do mo ści ode bra nych przez pro gram. 

msgsto 

Licz ba wia do mo ści wysłanych przez pro gram. 

bytes to 

Łączna licz ba kilo bajtów wysłanych przez pro gram. 

msgsrej 

Liczba nie przy ję tych wia do mo ści. 

msgsdis 

Licz ba od rzu co nych wia do mo ści. 

Mailer 

Nazwa pro gra mu wysyłającego. 


Przykład owy wy nik po lec enia mailsta ts po kaz ano poniżej. 
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Przykład 18-5. Przykład o wy wy nik po le ce nia ma il stats 

# /usr/sbin/mailstats 


Statistics 

from Sun Dec 

20 22:47 

: 02 1998 




M 

msgsfr 

bytes from 

msgsto 

bytes to 

msgsrej 

msgsds 

Mailer 

0 

0 

OK 

19 

515K 

0 

0 

próg 

3 

33 

545K 

0 

OK 

0 

0 

local 

5 

88 

972K 

139 

1018K 

0 

0 

esmtp 

T 

121 

1517K 

158 

1533K 

0 

0 



Te da ne są zbie ranę, je żeli opcja StatusFile w pli ku sendmail.cf jest włączo na i ist nieje 
plik sta nu. Zwy kle mu sisz do dać w pli ku sendmail.cf coś ta kiego: 

# plik stanu 

0 StatusFile=/var/log/sendmail.st 

Aby po nown ie uruc homić zbie ran ie sta tys tyk, mu sisz stwo rzyć plik sta tys tyk o że¬ 
rów ej długości: 

> /var/log/sendmail.st 

i po nown ie uruc homićsendmail. 

hoststat 

Po lece nielioststatwy świe tla in for ma cje o sta nie hos tów, do którychs endmail prób owal 
do starczyć pocztę. Po lecenie hoststat jest równoważne z na stępującym wy wołaniem 
sendmaila: 

sendmail -bh 

Wy nik po ka zu je ka ż de go ho sta w od dziel nym wier szu i przy ka żdym z nich za zna¬ 
czą, od kie dy (go dzi na) są po dej mo wa ne pr óby do star cze nia, oraz uzy ska ny wte dy 
komunikat. 

Przykład 18-6 to rezultat, ja kie go możesz oczek iwać od po lec eniahoststat. Zauważ, 
że większość wyn ik ów po kaz uje, że do stare zenie się po wiodło z wyjątkiem eart- 
hlink.net. Ko mun ikat o sta nie może pomóc okreś lić powód nie pow odz enia. W tym 
przy padku upłynął czas oczek iwa nia na połączę nie dla tego, że host nie działał, al bo 
nie dało się do nie go do stać w cza sie, gdy były po dejm owa ne ta kie pr óby. 


Przykład 18-6. Przykład o wy wy nik po le ce nia host stat 


# hoststat 


-Hostname- 

mail.telstra.com.au 

scooter.eye-net.com.au 

yarrina.connect.com.a 

happy.optus .com.au 

mail.zip.com.au 

kwanon.research.canon.com.au 

linux.org.au 

albert.aapra.org.au 

field.medicine.adelaide.edu.au 

copper.fuller.net 

amsat.org 

mail. acm.org 

extmail.bigpond.com 

earthlink.net 


How long ago 
04:05:41 
81+08:32:42 
53+10:46:03 
55+03:34:40 
04:05:33 
44+04:39:10 
83+10:04:11 
00 : 00:12 
53+10:04:11 
65+12:38:00 
5+06:49:21 
53+10:46:17 
11+04:06:20 
45+05:41:09 


-Results- 

250 Message accepted for 
250 OK id=0zTGai-0008S9-0 
250 LAA09163 Message acce 
250 Mail accepted 
250 RAA23904 Message acce 
250 ok 911542267 qp 21186 
250 IAA31139 Message acce 
250 VAA21968 Message acce 
250 ok 910742814 qp 721 
250 OAA14470 Message acce 
250 UAA07526 Message acce 
250 TAA25012 Message acce 
250 ok 

Deferred: Connection time 
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Polecenie purgestat czyści zebrane dane i jest równoważne z następującym wy¬ 
wołaniem sendmaila: 

# sendmail -bH 

Sta tys tyki będą zbie ranę, aż ich nie wy czyś cisz. Możesz co ja kiś czas uruc hami ać po¬ 
lec enie purgestat , aby ułatwić so bie wy szuk iwa nie ostatn ich wpisów, szczeg ólnie je 
żeli tw ój ośrod ek jest ob ciążony. Możesz ta kże umieś cić to po lec enie w ta blicy cron- 
tab, tak aby było uruchamiane automatycznie, lub możesz uruchamiać je co jakiś 
czas ręcz nie. 




Ten roz dział zwię źle wpro wad za w kon fig uro wan ie Exi ma i omaw ia je go funk cje. 
Choć Exim zachowuje się podobnie jak sendmail, jego pliki konfiguracyjne są zu¬ 
pełnie in ne. 

Głów ny plik kon fig ura cyj ny w wię ks zości dys tryb ucji Linuk sa na żywa si ę/etc/exim. 
conf lub /etc/exim/config, a w starszych konfiguracjach /usr/lib/exim/config. Plik ten 
mo żesz zna le źć, uru cha miając po niżs zepolecenie: 

$ exim -bP configure_file 

Może za jść po trzeba edycji pli ku kon fi gu ra cyj ne go, aby do pa so wać go do war toś ci 
spe cyf iczny ch dla two jego ośrodka. Przy standardowym kon fi gurowaniu nie trze ba 
wie le zmie niać, a działająca kon fig ura cja rząd ko mu sibyć mo dyf iko wana. 

Domyślnie Exim natychmiast przetwarza i rozsyła wszystkie przychodzące wia- 
dom ości. Je żeli masz sto sunk owo du ży ruch, możesz skon fig uro wać Exi ma tak, by 
zbie rai wia dom ości w tak zwa nej kolejce i prze twar zał je łącznie je dyn ie co ja kiś czas. 
Przy obsłudze pocz ty w sie ci TCP/IP, Exim czę sto działa w try bie de mo na: w cza sie 
uru cha mia nia sys te mu jest wy woły wa ny z/etc/init ,d/exim * i prze cho dzi w tło, gdzie 
cze ka na przy chodzące połączę nia TCP na por cie SMTP (zwy kle port 25). Jest to ko- 
rzyst ne, gdy spo dzie wasz się du że go ru chu, gdyż Exim nie mu si uru cha miąć się dla 
każdegoprzychodzącegopołączenia. Alternatywni e,inetd może zarządzać por tern 
SMTP i Exi ma, gdy na dej dzie połączę nie na ten port. Ta ka kon fi gu ra cja może się 
przy dać, gdy masz ogra ni czoną wiel kość pa mię ci i nie wiel ki ruch. 

Exim ma skom plik owa ny ze staw opcji wier sza po lec eń, a wie le z nich przy pom ina 
te z s endmaila. Za miast sa memu tru dzić się nad do pas owa niem opcji do swo ich po¬ 
trzeb, możesz zaimplementować najpopularniejsze typy operacji, wywołując kla¬ 
syczne po lec enia, jak rmail czy rsmtp. Są to do wiąza nia sym boi iczne do Exi ma (a je śli 


Innemożliwelokalizaqeto/efc/rc.rf/ini/.rfirc.iwef2.Taostatniajestczęstospotykanawsystemachkorzy 
stających ze struk tu ry plików w ka ta lo gu/ef c ty po wej dla BSD. 
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ich nie ma, możesz je łatwo utwór zyć). Gdy uruc homi sz jed no z tych po lec eń, Exim 
spraw dzi użytą przez cie bie na zwę i ustawi sam od pow iednie opcje. 

Ist nieją dwa do wiąza nia do Exi ma, któ re po wi nie neś mieć bez wzglę du na wszyst¬ 
ko: /usr/bin/rmail i / usr/sbin/sendmail*. Gdy pi szesz wia do mość i wy syłasz ją za po mo¬ 
cą agen ta, na przykłade/m, jest ona prze ka żywa na dosendmaila lub rmaila wce lu do- 
star cze nia i dla te go zar ów no / usr/sbin/sendmail, jak i /usr/bin/rmail po win ny wska zy- 
wać na Exi ma. Li sta ad resatów wia do mo ści jest prze ka zy wa na do Exi ma w wier szu 
po le ceń** To sa mo dzie je się z pocztą przy chodzącą przez UUCP. Wpi sując po niż sze 
wier sze, możesz skon fi gu ro wać żąda ne ście żki tak, by wska zy wały na Exi ma: 

$ ln -s /usr/sbin/exim /usr/bin/rmail 
$ ln -s /usr/sbin/exim /usr/sbin/sendmail 

Gdy byś chciał się zagłębić w dal sze szc zegóły kon fig ura cji Exi ma, po win ieneś prze 
czy t ać je go pełną spe cyf ika cję. Je żeli nie ma jej w two jej ulub ionej dys tryb ucji Linuk- 
sa, możesz ją zna leźć w źródłach Exi ma lub prze czyt ać w wer sji elekt roni cznej na 
wi tryn ie Exi ma pod ad res em http://www.exim.org. 

Eksploatowanie Exima 

Przed uru cho mie niem Exi ma mu sisz się zde cy do wać, czy chcesz, że by obsługi wał 
on przychodzącą pocztę SMTP jako samodzielny demon, czy jako program za¬ 
rządza ny przez inetd, kt óry kon tro lu je port SMTP i wy wołuje Exi ma tyl ko wte dy, 
gdy klient żąda połączę nia SMTP. Zwy kle na ser we rach pocz to wych le piej spraw¬ 
dza się de mon, po nie waż du żo mniej ob ciąża ma szy nę niż Exim uru cha mia ny od¬ 
dzielnie dla ka ż de go połączę nia. Po nie waż ser wer pocz to wy do star cza wię k szość 
przy chodzącej pocz ty bez po śred nio do adresatów, po wi nie neś na po zo stałych ho s- 
tach wy brać działanie przez inetd. 

Bez wzglę du na to, który tryb pra cy wy bie rzesz, mu sisz mieć w s wo im pli ku /etc/servi 
ces na stę pujący wpis: 

smtp 25/tcp # Simple Mail Transfer Protocol 

De fi niu je on nu mer por tu TCP, który jest uży wa ny do połączeń SMTP. Nu mer por tu 
25 jest stan dar do wo zde fi nio wa ny przez RFC-1700 ( AssignedNum bers ). 

Gdy uruc homi sz Exi ma w try bie de mona, prze chód zi on do prze twar zania w tle 
i cze ka na połączę nie na por cie SMTP. Gdy połączę nie na dejd zie, roz gałęzia się i je go 
pro ces po tomny pro wad zi kon wers ację SMTP z pro ces em ho sta po dru giej stro nie. 
De mon Exim zwy kle jest uruc hami any przez wy wołanie ze skryp turc w cza sie star¬ 
tu kom put era. Służy do te go na stęp ujące po lec enie: 

/usr/sbin/exim -bd -ql5m 

* Jest to nowa stan dar do wa lo ka li za cja s mdmaila zgod na ze stan dar dem sys te mu pli ków Linuk sa. In¬ 
nym, często spotykanym miejscem jest /usr/lib/sendmail, które może być używane przez programy 
pocz to we, które nie są spe cjal nie kon fi gu ro wa ne dla Linuk sa. Obie na zwy możesz zde fi nio wać jako 
dowiąza nia sym bo licz ne do Exi ma, aby pro gra my i skryp ty wywołujące sendmail tak na praw dę uru- 
cha miały i uży wały do swo ich cel ów Exi ma. 

** Nie które agen ty uży wają jed nak pro to kołu SMTP, by prze ka zać wia do mo ści do agen ta transpor to we 
go. Wywołują go wte dy z opq'ą -te. 
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Opcja -bdwlą cza tryb de mona, a -ql5m po woduje, że wiadomości ze brane w ko lejce 
są obsługiw ane co 15 mi nut. 

Gdybyś chciał użyć inetd, twój plik /etc/inetd.conf powinien zawierać następujący 
wiersz: 

smtp stream tcp nowait root /usr/sbin/exim in.exim -bs 

Pa mięt aj, że mu sisz spo wod ować po nowne prze czy t anie pli ku inetd.conf przez pro¬ 
ces inetd, wy syłając do nie go sy gnał HUP po do kon aniu nie zbędn ych zmian*. 

Tryb de mona i inetd wy klu czająsię wzajem nie. Jeżeli uruchomisz Eximajakode mona, 
powinieneś za komentować wiersz usługi smtp w pli ku inetd.conf. I od wrót nie, gdy 
uru cha miasz Exi ma przez inetd, upew nij się, że nie masz skryp tu rc uruchamiające go 
go w tr y bie de mo na. 

Wy kon ująć połączę nie przez teł net na port SMTP swo jej ma szyny, możesz spraw¬ 
dzić, czy Exim jest po prawn ie skon fig uro wany do od bier ania wia dom ości SMTP. 
Oto jak po winno wyglądać po prawne połączę nie: 

$ telnet localhost smtp 

Trying 127.0.0.1. .. 

Connected to localhost. 

Escape character is IA ]'. 

220 richard.vbrew.com ESMTP Exim 3.13 #1 Sun, 30 Jan 2000 16:23:55 +0600 

quit 

221 richard.vbrew.com closing connection 
Connection closed by foreign host. 

Je żeli ten test nie spo wod uje po kaz ania ba nera SMTP (wier sza roz poc zynające go się 
ko dem 220), spraw dź, czy pro ces de mona Exim ist nieje lub czy inetd jest po prawn ie 
skonfigurowany. Jeżeli to nie rozwiąże problemu, a w pli ku konfiguracyjnym nie 
ma błędów, zaj rżyj do plików log Exi ma (opis any ch da lej). 

Jeżeli twoja poczta nie dochodzi 

Istnieje szereg funkcji pomagających rozwiązywać problemy z instalacją. Pierw¬ 
szym miej scem, ja kie na le ży spraw dzić, są pli ki log Exi ma. W sys te mach linuk so- 
wych normalnie znajdują się one w katalogu /var/log/exim/log i nazywają się 
exim_mainlog, exim_rejectlog i exim_paniclog. W in nych sys te mach ope ra cyj nych czę¬ 
sto są umiesz cza ne w ka ta lo gu /var/spool/exim/log. Je śli jesz cze nie wiesz, gdzie się 
znaj dują pli ki log Exi ma w two im sys te mie, uru chom po niż sze po le ce nie: 

exim -bP log_file_path 

Głów ny plik log opi su je wszyst kie trans ak cje, plik log re ject za wie ra sz cze goły do¬ 
tyczące wia do mo ści, któ re zo stały od rzu co ne ze wzglę du na przyjętą po li ty kę, a plik 
log pa nic za wie ra wia do mo ści związa ne z błęda mi kon fi gu ra cyj ny mi i tym po dob- 
nymi. 


Użyjpo lecenia kill-HUP pid, gdzie pi dozna cza ID proce su inetd uzyskane na pod sta wie wy ni ku 
polecenia ps. 
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Po niżej po kaz ano ty powe wpi sy w główn ym pli ku log. Ka żdy wpis to jeden wiersz 
tek stu, roz poc zynający się od da ty i cza su. Tu taj zo stały one po dziel one na kil ka 
wier szy, by zmie ściły się na stro nie: 

2000-01-30 15:46:37 12EwYe-0004WO-00 <= jack@vstout.vbrew.com 
H=vstout.vbrew.com [192.168.131.111] U=exim P=esmtp S=32100 
id=38690D72.286F@vstout.vbrew.com 
2000-01-30 15:46:37 12EwYe-0004WO-00 => jill@vbrew.com> 

D=localuser T=local_delivery 
2000-01-30 15:46:37 12EwYe-0004WO-00 Completed 

Te wpisy pokazują, że wiadomość od jack@vstout.vbrew.com do jill@vbrew.com zo¬ 
stała po prawn ie do stare zona do skrzyń ki pocz tow ej na ho ście lo kaln ym. Przy jęc ie 
wia do mo ści ozna cza się sym bo lem <=, a na da nia - sym bo lem =>. 

Ist nieją dwa ro dza je blęd ów do star cze nia: stały i tym cza so wy. Błąd stały uwi dacz nia 
się w pliku log w po ka za ny po niż ej sp osób i jest ozna czo ny d wo ma gwiazd ka mi (**): 

2000-01-30 14:48:28 12EvcH-0003rC-00 ** bill@lager.vbrew.com 

R=lookuphost T=smtp: SMTP error from remote mailer after RCPT TO: 
<bill@lager.vbrew.com>: host lager.vbrew.com [192.168.157.2]: 

550 <bill@lager.vbrew.com>... User unknown 

Jeśli taki błąd wystąpi, Exim wy syła do nadaw cy ra port z błęd nego do stare zenia, 
często nazywany wiadomościąodbitą (ang. bo unced messa ge). 

Błędy tym czas owe są oznac zane sym bo lem ==: 

2000-01-30 12:50:50 12E9Un-0004Wq-00 == jim@bitter.vbrew.com 
T=smtp defer (145): Connection timed out 

Tenbłądjesttypo wy dla sy tu acji, w kt ór ej Exim praw do po dob nie roz po znał, że wia¬ 
domość powinna zostać dostarczona do hosta zdalnego, ale nie jest w stanie 
połączyć się z usługą SMTP na tym hoście. Na przykład host jest wyłączony lub 
przy tra fił się ja kiś pro blem z sie cią. Gdy wia do mość zo sta nie odrzucona (ang. deferred) 
w ten sposób, po zo sta je w ko lej ce Exi ma i co ja kiś czas jest po dej mo wa na pr óba jej 
po now ne go wysłania. Jed nak je żeli w okre ślo nym cza sie (zwy kle kil ka dni), żad na 
pró ba się nie po wie dzie, po ja wi się błąd stały i zo sta nie wysłana wiadomośćodbita. 

Je żeli na pod staw ie ko mun ika tu błędu ge ner owa nego przez Exi ma nie je steś w sta¬ 
nie zlokalizować problemu, możesz włączyć komunikatydebugujące. Robi się to 
przez opcję -d, po której opcjo naln ie mo żna po dać żąda ny po ziom dokład noś ci wy¬ 
świetlanych informacji (maksymalnie 9). Exim wyświetla raport na ekranie. Być 
może z nie go do wiesz się, gdzie tkwi błąd. 

Kompilowanie Exima 

Exim jest wciąż w sta dium in ten sy w ne go roz wo ju. Wer sja załączo na w dys try bu cji 
Linuk sa nig dy nie jest tą naj nowszą. Je żeli po trze bu jesz funk cji lub po praw ki, kt óra 
ist nie je w now szej wer sji, mu sisz zdo być kod źródłowy i skom pi lo wać go sa mo- 
dziel nie. Naj nowszą wer sję mo żna zna le źć na stro nie WWW Exi ma pod ad re sem 
http://www.exim.org. 
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Li nux jest jed nym z wie lu sys temów ope ra cyj nych, dla którego ist nieje kon fig ura cja 
w ko dzie źr ódłowym Exi ma. Aby skom pil ować go w Linuksie, po win ieneś do kon ać 
edycjiplikusrc/EDlTMEiumieś cić wy nik w pliku ona zwie Local/Makefile. Wpliku 
s rc/EDITME znaj dują się ko ment arze, kt óre in form ują, do cze go służą poszczególne 
ustaw ienia. Na ko nieć uruc hom make. Sz czegółowe in form acje na te mat kom pil acji 
Exi ma znaj dziesz w je go podręcz niku obsługi. 

Tryby dostarczaniapoczty 

Jak wspo mnie liś my, Exim może bezzwłocznie do star czać wia do mo ści lub ko lej ko- 
wać je do późniejszego prze twa rza nia. Wszyst kie przy chodzące wia do mo ści są za¬ 
chowywane w podkatalogu input katalogu /var/spool/exim. Gdy kolejkowanie nie 
działa, proces dostarczania jest uruchamiany po nadejściu każdej wiadomości. 
W prze ciw nym ra zie wia do mość jest po zo sta wia na w ko lej ce, aż pro ces cjueuerunner 
ją pobie rze. Ko lej ko wa nie może byćbez wa run ko we, je żeli usta wi my w pli ku kon fi- 
gu ra cyj nym queue_only, lub re ali zo wa ne wa run ko wo przy śred nim ob ciąże niu sys- 
te mu w cza sie jed nej mi nu ty, je żeli usta wi my: 

queue_only_load = 4 

Wtym wypadku wiadomościsąko lejko wane,jeżeli obciążę niesystemuprze kroczy 4*. 
Je żeli tw ój host nie jest na stałe połączo ny z In ter ne tern, możesz ze chcieć włączyć ko¬ 
lej ko wa nie dla adresów zdał nych, po zwa łając Exi mo wi na na tych mia sto we do star¬ 
cza nie pocz ty lo kal nej. Możesz to zro bić, usta wiając w pli ku kon fi gu ra cyj nym: 

queue_remote_domains = * 

Jeżeliwłączyszdowolnekolejkowanie,musiszpamiętaćoregularnymsprawdzaniu 
ko lej ek, najlep iej co 10 lub 15 mi nut. Na wet je żeli opcje ko lejkowa nia nie są jawnie 
włączo ne, trze ba spraw dzać ko lejki pod kątem wia dom ości od rzuć ony ch ze wzglę¬ 
du na tymczasowe błędy w dostarczaniu. Jeżeli uruchomisz Exima w trybie de¬ 
mona, mu sisz do dać w wier szu po lec eń opcję -ql5m prze twar zającą ko lejkę co 15 
mi nut. Możesz ta kże wy woła ćexim -q z crona co za dany okres cza su. 

Ak tua Iną ko lejkę możesz obejr zeć, wy wołując Exi ma z opcją -bp. To sa mo możesz 
uzys kać, tworząc do wiąza nie maiły do Exi ma i wy wołując maile]: 

$ mailq 

2h 52K 12EwGE-0005jD-00 <sam@vbrew.com> 

D bob@vbrew.com 

harry@example.net 

Widzimy, że w kolejce czeka jedna wiadomość od sam@vbrew.com adresowana do 
dwóch osób. Zo stała ona po praw nie do star czo na do bob@vbrew.com, ale jesz cze nie do¬ 
tarła do harry@example.net, choć cze ka w ko lej ce od dwóch go dżin. Roz miar wia do mo¬ 
ści to 52 KB, a ID za po mocą kt órego Exim ją iden ty fi ku je to 12 E wGE - 0 0 0 5 j D- 0 0 . Za- 
glądającdoindy wi dualne go pli ku log wiadomości,msg/og, który znaj du je się w ka ta- 


* Obdążeniesys temu jeststan dar dową uniksowąmiarąśredniejlicz by proc esów, któresąkol ejkowanei 
oczekują na wy ko na nie. Po lecenieuptńne po ka żuje średnie obciążę nia za następujące okresy czasu: mi- 
nu tę, 5 i 15 mi nut. 
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lo gu bu fo ro wym Exi ma, możesz stwier dzić, dla cze go wia do mość nie zo stała jesz cze 
do star czo na. Łatwo to zro bić, uży wając opcji -Mul: 

$ exim -Mvl 12EwGE-0005jD-00 

2000-01-30 17:28:13 example.net [192.168.8.2]: Connection timed out 
2000-01-30 17:28:13 harry@example.net: remote_smtp transport deferred: 
Connection timed out 

In dy w idu alne pli ki log za wier ają ko pię wp isów log dla ka żd ej wia dom ości, a więc 
możesz je łatwo przeglądać. Tę samą in form ację możesz uzys kać z główne go pli ku 
log, używ ając na rzęd zia exigrep: 

$ exigrep 12EwGE-0005jD-00 /var/log/exim/exim_mainlog 

Po trwa to nie co dłużej, szczególnie w ob ciążonym sys tern ie, gdzie pli ki log są du że. 
Na rzęd zie exigrep przy daje się przy po szuk iwa niu in form acji o wię ks zej licz bie wia- 
dom ości. Je go pierw szym ar gum entem jest wy raż enie re gul arne i po kaz uje wszyst¬ 
kie wiersze związane z wiadomościami, które mają co najmniej jeden wiersz pa¬ 
sujący do wy raż enia. Tym spo sob em mo żna go używ ać do wy bran ia tych wszyst¬ 
kich wia dom ości, któ re są ad res owa ne na je den za dany ad res, lub wszyst kich tych, 
które są prze znać zonę dla za dan ego ho sta lub stamtąd po chodzą. 

Je śli chcesz zo bac zyć so bie og ólnie, co ro bi Exim, uruc hom po lec eni etail z głów nym 
pli kiem log. Możesz też uruc homić na rzęd zie eximon do stare zane wraz z Exi mem. 
Jest to aplik acja XI1, która da je prze suw ający się ob raz głów nego lo gu i po kaz uje li¬ 
stę wiadomości, któ re cze kają na do star cze nie, oraz pew ne sta tys tyki ak tywn ości 
dostarczania. 

Różne opcje konfiguracyjne 

Oto kil ka in nych przy dat nych opcji, które możesz usta wiać w pli ku kon fi gu ra cyj- 
nym. 

message_size_limit 

Usta wie nie tej opcji ogran icza roz miar wia dom ości przyj mow anej przez Exi ma. 
return_size_limit 

Ustawienie tej opcji ogran icza licz bę przy chodzących wia dom ości, któ re Exim 
bę dzie zwra cał w ra mach wia dom ości od bit ej. 

deliver_load_max 

Je żeli obciążę nie sys te mu osiągnie za daną tą opcją war tość, do star cza nie wszel¬ 
kich wia do mo ści zo sta nie za wie szo ne, choć wciąż będą one przyj mo wa ne. 

smtp_accept_max 

Jest to mak sym alna licz ba jed no cze śnie przy chodzących połączeń SMTP, które 
Exim może przyjąć. 

log_level 

Ta opcja kontroluje liczbę danych zapisywanych do pliku log. Istnieją pewne 
opcje o nazwach rozpoczynających się od log_ , które kontrolują zapisywanie 
określonych informacji. 
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Ruting i dostarczanie poczty 

Exim dzie li do star cza nie pocz ty na trzy różne za da nia: ru ting, zarządza nie i prze 
syłanie. Ist nie je kil ka mo dułów ko du dla ka ż de go ty pu i ka żdy kon fi gu ru je się od¬ 
dziel nie. Zwy kle w pli ku kon fi gu ra cyj nym do sto so wu je się kil ka róż nych rut erów, 
mo dulów zarządzających i prze syłających. 

Ru tery roz wiązują ad resy zdał ne, aby było wia do mo, do którego ho sta po winna być 
wysłana wia dom ość i któ rego pro tokołu trans port owe go na leży użyć. W przy padku 
host ów podłączo nych do In ter ne tu, zwykle ist nie je je den ru ter, kt óry re aliz uje roz- 
wiązy wan ie przez prze szuk iwa nie do meny w DN S-ie. Ewent ual nie może być je den 
ru ter, kt óry obsługuje ad resy ho stów w sie ci lo kaln ej, i dru gi, któ ry wy syła po zos tałe 
wia dom ości do inteligentnegohosta , na przykład ser wera pocz tow ego do stawcy In¬ 
ternetu. 

Ad re sy lo kal ne są prze ka zy wa ne do pro gra muzarządzające go. Ta kich pr ogramów 
jest zwy kle kil ka. Obsługują one alia sy i prze ka zy wa nie oraz iden ty fi kują skrzyń ki 
lo kal ne .Listy pocz to we mogą być obsługi wa ne przez pro gra my zarządzające alia sa¬ 
mi i przekazywaniem. Jeżeli adres po sia da alias lub zo stał prze kie ro wa ny, no wo 
utworzone adresy są obsługiwane niezależnie przez rutery lub programy 
zarządzające, o ile jest ta ka po trze ba. Naj czę st szym przy pad kiem bę dzie do star cza- 
nie do skrzyń ki pocz to wej, ale wia do mo ści mogą być ta kże prze ka za ne przez po tok 
do po le ce nia lub do kle jo ne do pli ku in ne go niż do my śl na skrzyń ka pocz to wa. 

Mo duł trans port owy jest od pow iedz ialny za im plem enta cję me tod do stare zania, na 
przykład za wysłanie wia dom ości przez łącze SMTP lub umieszc zenie jej w okreś¬ 
lonej skrzyń ce pocz tow ej. Ru tery i pro gramy zarządzające de cyd ują, kt óre go mo¬ 
dułu trans port owe go użyć dla da nego ad res ata. Je żeli mo duł trans port owy nie za¬ 
działa, Exim ge ner uje wia dom ość od bitą lub chwi Iowo odkłada ad res, aby później 
ponowićpróbę. 

W Exi mie masz pełną swo bodę kon fi gu ro wa nia tych za dań. Dla ka ż de go z nich do¬ 
stępne jest kilka sterowników, z których możesz wybrać potrzebny. Opisujesz je 
w różnych sek cjach pli ku kon fi gu ra cyj ne go Exi ma. Naj pierw de fi nio wa ne są pro ta 
koły trans por to we, po nich mo duły zarządzające, a na ko ńcu ru te ry. Nie ma wbu da 
wa nych war to ści do my śl nych, choć Exim jest roz po wszech nia ny z do my śl nym pli¬ 
kiem kon fi gu ra cyj nym, któ ry u względ nia pro ste przy pad ki. Gdybyś chciał zmie nić 
politykę rutowania Exima lub zmodyfikować protokół transportowy, łatwiej jest 
roz począć od do my śl nej kon fi gu ra cji i do ko ny wać w niej zmian, niż próbować stwa 
rzyć plik kon fi gu ra cyj ny od ze ra. 

Rutingwiadomości 

Gdy Exim do sta nie ad res, na który ma do star czyć pocz tę, naj pierw spraw dza, czy 
do me na jest obsługi wa na przez host lo kal ny, po rów nując ją z listą za wartą w zmien¬ 
nej konfigu ra cyj nej 1 o c a l_doma i n s. Je żeli ta opcja nie jest usta wio na, na zwa ho sta 
lo kal ne go jest uży wa na tyl ko w do me nie lo kal nej. Je żeli je ste śmy w do me nie lo kal- 
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nej, ad res jest prze ka zy wa ny do mo dułów zarządzających. W prze ciw nym ra zie jest 
prze ka zy wa ny do ruterów, aby stwier dziły, gdzie przesłać wia do mość*. 

Dostarczaniewiadomościnaad resy lokalne 

Ad res lo kał ny to prze wa żnie na zwa użyt kow ni ka. Je śli ma taką po stać, wia do mość 
jest do star cza na bez po śred nio do skrzyń ki pocz to wej użyt kow ni ka /mr/spool/mail/ 
nazwa- uDy tkownika. Do in nych pr zypadkó w za li cza my alia sy, na z wy list pocz¬ 
to wychiprzekazy wanie pocz ty przez użytkowni ka. Wtedy adres lokalnyjestroz wi¬ 
ja ny do li sty ad resów, kt óre mogą być lo kal ne lub zdał ne. 

Po za ta ki mi „nor mai ny mi" ad re sa mi, Exim może obsługi wać in ne ty py ce lów wia¬ 
domości lo kal nych oinnymmiejscuprzeznaczenia,takimjaknazwyplikówipotoki 
po le ceń. Je śli cho dzi odo star cza nie do pli ku, Exim do kle ja wia do mość, a je żeli jest 
ta ka po trze ba, two rzy no wy plik. Ce le w po sta ci pli ku i po to ku nie są ty po wy mi ad- 
re sa mi, a więc nie możesz wysłać pocz ty, po wiedz my, pod letclpasswd@vbrew.com 
i ocze ki wać, że plik passwd zostanie nad pisany. Dostarcza nie pod ad resy specjalne 
jest mo żli we tyl ko, je żeli ist nie je na nie prze kie ro wa nie lub plikialiasów. Z wr óć jed¬ 
nak uwa gę, że/etc/passwd@vbrew.com jest składniowo po praw nym ad resem e-mail, 
ale jeżeli Exim odbierze adresowaną na niego wiadomość, zwykle będzie szukał 
użyt kow ni ka o na zwie /etc/passwd , co za ko ńczy się fia skiem i wia do mość zo sta nie 
odbita. 

Na liś cie ali asów lub w pli ku prze kie ro wa nia nazwapliku za czy na się od uko śni ka (/) 
i ma postać, która nie spełnia warunków składni pełnego domenowego adresu 
e-ma il. Na przykład /tmp/junk w pli ku prze kie ro wa nia lub w pli ku ali asów jest in ter- 
pre to wa ne ja ko na zwa pli ku, ale / tmp/ junk@vbrew.com ja ko ad res e-ma il, choć praw¬ 
do po dob nie nie zbyt przy dat ny. Jed nak ad re sy te go ty pu mo żna spo tkać przy wy¬ 
syłaniu pocz ty przez ga te waye X.400, po nie waż ad re sy X.400 roz po czy nają się od 
ukośnika. 

Po dob nie poleceniewpo foku może być do wol nym po le ce niem Unik sa po prze dzo nym 
zna kiem po to ku (I), o ile ciąg nie może być uzna ny za po praw ny, do me no wy ad res 
e-ma il. Je żeli nie zmie nisz kon fi gu ra cji, Exim nie uży wa powłoki do uru cha mia nia 
po le ce nia. Za to dzie li ciąg na na zwę po le ce nia i ar gu men ty i uru cha mia je bez po- 
śred nio. Wia do mość jest prze ka zy wa na ja ko stan dar do we we jś cie ta kie go po le ce 
nia. 

Na przykład, aby przekierować listę pocztową do lokalnej grupy dyskusyjnej, 
mógł byś użyć skryp tu powłoki gateit i skon fi gu ro wać lo kal ny alias tak, by do star¬ 
czał wszyst kie wia do mo ści z tej li sty do skryp tu za po mocą | g a t e i t. Je śli wiersz 
po le ceń za wie ra prze ci nek, na le ży go ująć w cu dzysłów wraz z sym bo lem po to ku. 


* Opis ten zo stał uprosz czo ny. Mo żna sprawić, by moduły zarządzające prze ka zały ad re sy do modułów 
trans por to wych, które do starczą wia domoścido hos tów zdał nych. I po dob nie, ru te ry mogą prze ka zać 
ad re sy do lo kal ne go modułu trans por to we go, który za pi sze wia do mość do pli ku lub po to ku. Możliwe 
jest ta kże, by ru te ry w pew nych wa run kach prze ka zały ad re sy do pr og ramów zarządzających 
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Użytkownicylokalni 

Adreslokalny zwykle jest jednoznaczny ze skrzynką pocztową. Znaj duje się ona 
prze wa żnie w ka ta lo gu /uar/spool/mail i no si na zwę użyt kow ni ka, który jest również 
właści cie lem pli ku. Je żeli plik nie ist nie je, Exim go two rzy. 

W pew nych kon fi gu ra cjach gru pa jest usta wia na na taką, do której na le ży użyt kow- 
nik, a tryb praw do stę pu na 0600. W tych przy pad kach pro ce sy do star cza nia działają 
z pra wa mi użyt kow ni ka i użytków nik może usunąć całą skrzyń kę. W in nych kon fi- 
gu ra cjach skrzyń ka pocz to wa na le ży do gru py mail i ma pra wo do stę pu 06 60. Pro¬ 
ce sy do star czające działają z uid sys te mu i grupąmail, a użyt kow ni cy nie mogą usu¬ 
wać pli ków swo ich skrzy nek, choć mogą je opróżniać. 

Zauważ, że choć katalog /var/spool/mail jest obecnie standardowym miejscem 
umieszczania plików skrzynek pocztowych, niektóre programy są skompilowane 
do uży wa nia in nych ście żek, na przykład /usr/spool/mail.je żeli do starcze nie pocz ty 
do uży tko wnikó w na two im kom pu te rze re gu lar nie się nie uda je, po wi nie neś zo ba- 
czyć, czy po może stwo rze nie do wiąza nia sym bo licz ne go do /uar/spool/mail. 

Adresy MAILER-DAEMON i postmaster normalnie powinny być umieszczone 
w pli ku ali asów i po win ny się roz wi jać do adresów e-ma il ad mi ni stra to ra sys te mu. 
MAILER-DAEMON jest uży wa ny przez Exi ma ja ko ad res nadaw cy w wia do ma 
ściach od bi tych. Jest również za le ca ne, by root był skon fi gu ro wa ny ja ko alias dla ad- 
mi ni stra to ra, sz cz eg ólnie gdy do star cza nie od by wa się z pra wa mi odb io rców, aby 
zapobiecdostarczaniujakoroot. 

Przekierowywaniepoczty 

Użyt kow ni cy mogą prze kie ro wy wać swoją pocz tę na in ne ad re sy, tworząc plik .for- 
wardwswo ich ka ta lo gach ma cie rzy s tych. Za wie ra on li stę od biorców, w kt órej zna¬ 
kiem se pa ra to ra jest prze ci nek i/lub znak no we go wier sza. Wszyst kie wier sze za- 
war te w pli ku są od czy ty wa ne i in ter pre to wa ne. Mo żna w nim użyć ad re su do wol¬ 
ne go ty pu. Prak tycz ny m przykładem pli ku .forwa rdprzy go to wa ne go na czas urlo pu 
może być: 

janet, "|vacation" 

W in nych opi sach pli ków .forward możesz zna le źć na zwę użyt ko w ni ka po prze dzoną 
zna kiem od wrót ne go uko śni ka. W star szych MT A ta ki za pis za po bie gał szu ka niu 
no wej na z wy w pli ku .forward, co mogło pro wa dzićdozapętlenia.WEximieod wrót 
ny uko śniknie jest po trzeb ny, gdyż pro gram ten au to ma tycz nie roz wiązu je pro blem 
za pę tle nia*. Jed nak znak od wrót ne go uko śni ka jest do pusz czai ny i nie jest on bez 
zna cze nia w kon fi gu ra cji, obsługującej kil ka do men naraz. Sa ma na zwa użyt kow ni- 
ka, bez zna ku od wrót ne go uko śni ka, jest uzna wa na za na zwę zdomenydomy śl nej. 
W przy pad ku za sto so wa nia od wrót ne go uko śni ka za cho wy wa na jest poda na do¬ 
mena. 


Pro gram zarządzający jest po mi ja ny, je żeli ad res, kt óry ma zo stać prze two rzo ny, jest taki sam jak ad res 
uży ty dojego wy generowania. 
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Pierw szy ad res w pli ku prze kier owa nia od pow iada za do stare zenie przy chodzącej 
wia dom ości do skrzyń ki pocz tow ej janet, natomiast po lecenie uacation zwraca do 
nadaw cy krótką in for ma cję^. 

Po za obsługą „ tra dy cyj ny ch" pli kó w prze kie ro wa nia, Exi ma mo żna skon f i gu ro wać 
do pra cy z bar dziej skom pli ko wa ny mi pli ka mi, zwa ny mi filtrami Za miast li sty ad¬ 
resów, na które na le ży prze kie ro wać wia do mość, plik fil tru może za wie rać te sty za¬ 
wartości przychodzącej wiadomości, tak by na przykład wiadomość mogła być 
prze ka za na tył ko wte dy, gdy te mat za wie ra hasło „pil ne". Ad mi ni stra tor sys te mu 
mu si zde cy do wać, czy wol no po zwo lić użyt kow ni kom na taką ela stycz ność. 

Pli ki ali asów 

Eximmoże obsługi waćpli ki ali asów koma ty bilnezplikamisendwwi/a. Wpi sy w pli¬ 
ku ali asów mogą mieć na stę pującą po stać: 

alias: odbiorcy 

odbiorcy to li sta od dziel ony ch prze cink ami adre sów, któr ymizo stan ie za stąpio ny 
alias. Li sta od biorców może ciągnąć się przez kil ka wier szy, je żeli na stępny wiersz 
roz poc zyna się od białego zna ku. 

Spe cjal na funk cja pozwą la Exi mo wi obsługi wać li sty pocz to we, które są umiesz czo- 
ne niezależnie od pliku aliasów: jeżeli podasz jako odbiorcę : include : nazwa- 
pliku, Exim od czy tu je za da ny plik i za stę pu je je go za war tość listą odbiorców. Al- 
ter na ty wa dla ta kiej obsługi list pocz to wych jest opi sa na w na stęp nym pod roz dzia¬ 
le, Listy pocztowe. 

Główny plik aliasów to/efc/a/Mses.Jeżeliprzyznałeśprawazapisudotegoplikugru- 
pie lub wszyst kim, Exim odmówi je go użyć ia i wstrzy ma przyj mow anie pocz ty lo- 
kaln ej. Możesz jed nak kon troi ować test związa ny ze spraw dzan iem praw do stępu, 
ustaw iając modemask w pro gram ie zarządzającym system_aliases. 

Oto przykład owy plikaHases: 

# plik /etc/aliases dla vbrew.com 
hostmaster: janet 

postmaster: janet 
Usenet: phil 

# Lista pocztowa development. 
development: joe, sue, mark, biff, 

/var/mail/log/development 
owner-development: joe 

# OgDoszenia ogólne 3 : 0 wysyDane do caDego personelu, 
announce: :include: /etc/Exim/staff, 

/var/mail/log/announce 
owner-announce: root 

# przejOcie z listy pocztowej ppp na lokalnD grupC dyskusyj:aO 
ppp-list: "|/usr/local/bin/gateit local.lists.ppp" 


* Je żeli zde cy dujesz się na uży cie pro gra mu uacation , upew nij się, że nie bę dzie on od po wia dał na wia do- 
mo ści po chodzące z list pocz to wych! Na praw dę mo żna się zde ner wo wać, je śli z każdą wia do mo ścią z 
li sty pocz to wej do sta je się in for ma cję o czy imś urlo pie. Ad mi ni stra to rzy list pocz t o wych: jest to do bry 
przykład, że nie na le ży usta wiać pola Reply-To : w wia do mo śdach wysyłanych z gru py, na ad res 
od biorców listy. 
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Gdy w plikach aliasów znajdują się nazwy plików i polecenia w potoku, tak jak 
w po wyż sz ym przykładzie, Exim mu si wie dzieć, pod ja kim użytk owni kiem mają 
działać pro gramy do stare zające. Opcja user w pli ku kon fig ura cyj nym Exi ma (a ta kże 
group ) mu si być ustaw iona dla pro gramu zarządzające go, kt óry obsługu je alia sy, al¬ 
bo dla mo dułów trans port owy ch, na które są prze kier owy wane wia dom ości. 

Jeżeli w czasie dostarczania wiadomości na adres wygenerowany z pliku aliases 
wystąpi błąd, Exim jak zwy kle wy śle do nadaw cy wia dom ość od bitą, o ile za po¬ 
mocą opcji errors_tonie okreś lisz, że od bite wia dom ości mają być wy syłane do ko go 
in nego, na przykład do post mas tera. 

Li sty pocztowe 

Za miast pli kualiases, pro gram zarządzający forwardfile może obsługi wać ta kże li sty 
pocztowe. Są one zwykle przechowywane w jednym kata logu, jak /etc/exim/lists/, 
a li sta o na zwienag-bugs jest opisana plikiem lists/nag-bugs. Plik ten po wi nien za- 
wie rać ad re sy członków li sty od dzie lo ne prze cin ka mi lub zna ka mi no we go wier sza. 
Wier sze roz po czy nające się od zna ku #są trak to wa ne ja ko ko men ta rze. Pro sty pro¬ 
gram zarządzający wy ko rzy stujący te da ne może wyglądać na stę pująco: 

lists: 

driver = forwardfile 

file = /etc/exim/lists/${local_part} 

no_check_local_user 

errors_to = ${local_part}-reąuest 

Gdy działa pro gram zarządzający, war to ści opcji file i errors_to są rozwijane. 
Rozwinięcie po wo du je, że te frag men ty ciągu znaków, które roz po czy nają się od 
zna ku do la ra, zo staną za ka żdym ra zem za stąpio ne uży wa nym ciągiem. Naj prost¬ 
szym rodzajem rozwinięcia jest wstawienie wartości jednej ze zmiennych Exima 
i tak właśnie się tutaj dzieje. Ciąg $ { local_part } jest zastępowany wartością 
$ 1 o c a l_p a r t , która jest lo kalną czę ścią prze twa rza ne go ad re su. 

W ka żd ej liś cie pocz tow ej po win ien znaj dow ać się użytk ownik (lub alias) o na zwie 
listname-reąuest. Wszel kie błędy wy stęp ujące przy roz wiązy wan iu ad resu lub 
do stare zaniu pocz ty do człon ka li sty są zgłaszane na ten ad res. 

Ochrona przed spamem 

Spam, lub ina czej nie chcia na pocz ta re kia mo wa, jestproble mem de ner wującym wie 
lu użytkowników. Do prac nad rozwiązaniem tego problemu powołano projekt 
MAPS ( Mail Abu sePro tec tion Sys tern ). Stwo rzo no też me cha nizm zmniej szający ska lę 
pro ble mu, tak zwaną czarną li stę ( RealTimeBlackholeList - RBL). In for ma cje o tym, 
jak działa RBL pro jek tu MAPS, możesz zna le źć w do ku men ta cji elek tro nicz nej pod 
ad resem http://maps.vix.com/rbl/. Po mysł jest pro sty. Ośrod ki, które zo staną zła pa ne 
na ge ne ro wa niu spa mu, są do da wa ne do ba zy da nych, a agen ty prze syłające pocz tę, 
ta kie jak Exim, są w sta nie za da wać do tej ba zy za py ta nia i spraw dzać przed przy ję¬ 
ciem pocz ty, czy host źródłowy nie jest spam me rem. 
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Oprócz RBL, powstało już kilka innych podobnych list. Jedna z najbardziej uży¬ 
tecznych to DUL (Dia 1-UpList), za wie rająca ad re sy IP hostów podłączo nych przez li¬ 
nie ko mu to wa ne. Nor mai nie po win ny one wy syłać pocz tę wy chodzącą tyl ko przez 
serwery poczto we swoich dostawców. Wiele ośr odkówbloku je przyjmowanie pocz¬ 
ty z ze w nętrz nych ho s tów ko mu to wa nych, po nie waż, gdy ta ki host nie uży wa ser- 
we ra własne go do staw cy In ter ne tu, zwy kle nie wróży to nic do bre go. 

Exim obsługuje różne czar ne li sty. Bar dzo łatwo jest je w nim skon fig uro wać. Aby 
włączyć spraw dzan ie ta kich list, do daj po niżs zy wiersz do pli ku / etc/exim.conf : 

# Vixie / MAPS RBL (http://maps.vix.com/rbl) 
rbl_domains = rbl.maps.vix.com : dul.maps.vix.com 

Ten przykład spraw dza żarów no RBL, jak i DUL, i od rzuca wszel kie wia dom ości 
po chodzące z hostów, które znaj dują się na którejkolwiek z list. Opcja rbljiosts po¬ 
zwala na poda nie gru py hos tów, któ rej do tyc zy (lub nie do tyc zy) spraw dzan ie RBL. 
Do myś lne ustaw ienie jest na stęp ujące: 

rbl_hosts = * 

co oznac za, że wszyst kie ho sty są spraw dzane przez RBL. Gdy byś chciał wyłączyć 
spraw dzan ie czar nej li sty i przyj mow ać pocz tę z da nego ho sta bez kon tro li, mógłbyś 
na przykład zro bić na stęp ujący wpis: 

rbl_hosts = ! nocheck.example.com : * 

Wy krzykn ik przed pierw szym elem entem li sty po wod uje jej za neg owa nie. Gdyby 
ho stem na wiązującym połączę nie był nocheck.example.com , pa sowałby do te go wy¬ 
raź enia. Ale ze wzglę du na ne gac ję, nie jest wy kon ywa ne spraw dzan ie RBL. Wszel¬ 
kie in ne ho sty pa sują do dru giego elem entu li sty. 

KonfigurowaniellUCP 

Exim nie za wie ra żad ne go szc ze gólnego ko du do wy syłania pocz ty przez UUCP ani 
nie obsługu je adr esów w po sta ci wy ka zu tra so wa nia UUCP. Jed nak, je żeli zo sta nie 
użyte adresowanie domenowe, Exim może bardzo łatwo stać się interfejsem dla 
UUCP. Oto, wzię ty z rze czy wi stej in sta la cji, frag ment kon fi gu ra cji po zwa łającej na 
wy syłanie pew nych do men do UUCP: 

# Transport 
uucp: 

driver = pipę 
user = nobody 

command = "/usr/local/bin/uux -r - \ 

${substr_-5:$host}!rmail ${local_part}" 
return_fail_output = true 

# Router 
uucphost: 

transport = uucp 
driver = domainlist 
route_file = /usr/exim/uucphosts 
search_type = lsearch 
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Wkom piet nym pli ku konf i gu ra cyj ny m konf i gu ra cja trans por tu zo stałaby umiesz czo- 
na wśród in nych kon fi gu ra cji trans por tu, a ru ter zo stałby praw do po dob nie zde f i nio- 
wa ny ja ko pierw szy ru ter. Flik/usr/exim/uucphosts za wie ra na stę pujące wpi sy: 

darksite.example.com: darksite.UUCP 

które są in terp reto wane na stęp ująco: „Wy ślij pocz tę ad res owaną do do meny dark¬ 
site. example.com do ho sta UUCP darksite" . Ta kon fig ura cja mogłaby być zre ali zo- 
wana prościej bez rutera dostawiającego przyrostek. UUCP do darksite, ale ten 
sposób jest przy datny, po niew aż po zwala od różn ić do menędarksite. example.com 
od na zwy ho sta UUCP darksite. 

Kie dy tyl ko ru ter do trze dodo me ny, kt óra jest wpi sa na w pli ku, prze ka zu je ad res do 
trans por tu UUCP, który z ko lei prze ka zu je go przez po tok do po le ce nia uux (opi sa- 
ne go w roz dzia le 16, Zarządza nie UUCP Tay lora). Je żeli na po tka problemów* wy ge¬ 
neruje jakiś wy nik i za ko ńczy działanie z nie ze ro wym ko dem błędu. Usta wie nie 
zmień nejre tur n_fail_output powoduje,żekomunikatbłęduzostajezwrócony 
do nadaw cy. 

Je żeli przy chodzące wia dom ości UUCP są gru pow ane w pli ki we wsa dow ym for- 
mac ie SMTP, mogą być prze kaz ane bez poś rednio do Exi ma za po mocą po niżs zego 
polecenia: 

exim -bS </var/uucp/incoming/001 

Jed nak jest tu jed na pułap ka. Gdy Exim od bier ze wia dom ość lo kaln ie, nadaw ca mu¬ 
si być za log owa nym użytk owni kiem, który go wy wołał. W przy padku UUCP chce 
my jed nak, by nadaw cy by li bra ni z przy chodzących wia dom ości. Exim to zro bi, je 
żeli pro ces go wy wołujący działa ja ko użytkownikza ufany. Je żeli przy chodząca pocz¬ 
ta UUCP bę dzie obsługiw ana na przykład przez użytk owni ka uucp, mu sisz w pli ku 
konfiguracyjnymExima wpisać: 

trusted_users = uucp 

Ta ki wpis za pewni po prawne obsłużeń ie adre sów nada wców. 




Gru py dys ku syj ne Usene tu są jedną z naj wa żniej szych i wy so ko ce nio nych usług 
w dzi siej szych sie ciach kom pu te ro wych. Choć nie którzy uwa żają Usenet za grzę za- 
wi sko agre sy w nej pocz ty ko mer cyj nej i por no gra fii, są tam i do sko nałe gru py dys¬ 
ku syj ne, któ re s ta no wiły nie za stąpio ne źródło in f or ma cji, za nim po ja wiło się WWW. 
Na wet w cza sach bi lio na stron WWW, gru py dys ku syj ne po zo stają miej scem, gdzie 
możesz zna le źć po moc i po dy s ku to wać na wie le tern atów. 

Historiallsenetu 

Pomysł grup dyskusyjnych zrodził się w 1979 roku, kiedy dwóch absolwentów, 
Tom Tru scott i Jim El lis, po my ślało o uży ciu UUCP do połączę nia kom puterów w ce 
lu wy mia ny inf or ma cji po mię dzy użyt kowni ka mi Uniksa. Zbu do wa li oni w Ka ro li¬ 
nie Północ nej małą sieć, skład ającą się z trzech komputerów. 

Na początku ruch był obsługiwany przez kilka skryptów (później przepisanych 
w języku C), ale nigdy nie zostały one rozpowszechnione publicznie. Szyb ko za- 
stąpio no je przez „A News" - pierw sze pu bliczn ie do stępne oprog ramo wan ie dla 
grupdyskusyjnych. 

A News mogło obsłużyć naj wy żej kil ka ar ty kułów dzień nie. Gdy licz ba nad syłanych 
dogrupyartykułówzaczęłarosnąć,MarkHortoniMattGlickmanprzepisaliopro gra- 
mo wa nie i na zwa li je wy da niem „B" (lub B News). Pierw sze pu blicz nie do stęp ne 
wy da nie BNews miało nu mer wer sji2.1 iuj rżało światło dzienne w 1982 ro ku. Nie 
ustań nie było udo sko na la ne i wzbo ga ca ne o no we funk cje. Ak tu al na wer sja B Ne ws 
manumer2.11. Opro gra mo wa nie to po wo li prze cho dzi do hi sto rii, a ostat nia osoba, 
któ ra je utrzy my wała, za jęła się roz wo jem pro gra mu INN. 

Geo ff Col ly er i Hen ry Spen cer prze pi sa li B News i wy da li je w 1987 ro ku ja ko wer sję 
C (C News). Od cza su te go wy da nia po ja wiło się sze reg łat do C News, z których naj¬ 
bardziej wartościowe było wydanie C News Performance Release. W ośrodkach 
obsługujących wie le grup są do syć du że ob ciąże nia związa ne z czę stym wy woły wa- 
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niem relaynews, kt óre od po wia da za roz dzie la nie przy chodzących ar ty kułów do in¬ 
nych ho stów. Wer sja Per for man ce do da je do relaynews kil ka opcji, które po zwa łają 
działać pro gra mo wi w try biedemona w tle. Wer sja Per for man ce C News jest ak tu al- 
nie załącza na do wię k szo ści wy dań Linuk sa. C News szczegółowo opi su je my w roz- 
dziale21,C News. 

Wszyst kie wer sje, aż do C, były pi sa ne z my ślą o sie ci UUCP, choć mogły być ró w nież 
sto so wa ne w in nych śro do wi skach. Efek ty w ne prze syłanie wia do mo ści przez sie ci, 
ta kie jakTCP/IP czy DEC Net, wy ma gało no wej ar chi tek tu ry. Dla te go w 1986 ro ku 
zostalwymyślonyprotokółprzesyłaniawiadomościwsiecikomputerowejUsenet (Network 
News Transfer Protocol - NNTP). Jest on opar ty na połączę niach sie cio wych i za wie ra 
szeregpoleceńdointerak ty w ne go prze syłania i od bie ra nia ar ty kuło w. 

W sie ci mo żna zna le źć wie le apli ka cji opar tych na NNTP. Jedną z nich jest pa kiet 
nntpd, stwo rzo ny przez Bria na Bar be ra i Phi la Lap sleya. Służy on do udo stęp nia nia 
grup dys ku syj nych ho storn w sie ci lo kał nej. W założę niu nntpd miał uzu pełniąc pa- 
kie ty opro gra mo wa nia obsługujące go gru py dys ku syj ne, czy li B News lub C News. 
Do da je do nich funk cje NNTP. Je śli chcesz uży wać NNTP z ser we rem C News, po- 
wi nie neś prze czy tać roz dział 22, NNTP i de mon nntpd, wyją śniający, jak skon fi gu ro- 
waćdemona nntpd i uru cho mić go z C News. 

Al ter na tyw nym pa kie tern obsługującym NNTP jest INN lub In ternetNews. Nie jest 
to jedynie interfejs, ale system grup działający na własnych prawach. Składa się 
z wy rafino wane godemo na prze ka żujące goda ne, który efektyw nie obsługuje kilka 
jed no cze snych połączeń NNTP, oraz z ser we ra grup uży wa ne go w wie lu ośrod kach 
w In ter ne cie. Sz cze gółowo oma wia my go w roz dzia le 23, In ter net News. 

Czym jest Usenet 

Jed nym z bar dziej zdu mie wających faktów związa nych z Usene tern jest to, że nie 
jest on czę ścią or ga ni za cji, ani nie ma żad nej cen trał nej władzy zarządzającej. W za¬ 
sadzie taki już jest Usenet, że poza opisem technicznym nie da się go zdefinio¬ 
wać. Ry zy kując, że bę dzie to brzmiało śmiesz nie, mo żna zde fi nio wać Usenet ja ko 
współpracę ośrodków wymieniających wiadomości grup dyskusyjnych Usenetu. 
Aby stać się ośrod kiem Usenetu, wy star czy zna le źć in ny ośro dek Usene tu i uzgod¬ 
nić z je go właści cie la mi spos ób i pra wa wy mia ny wia do mo ści grup dys ku syj nych 
mię dzy wami. Udo stęp nia nie wia do mo ści grup dys ku syj nych in nym ośrod kom no¬ 
si w języku angielskim na z węfeeding (dosłownie: karmienie). W dalszej części tej 
książki będzie my uży wa li ter mi nudostarczanle. 

Podstawową jednostką grup dyskusyjnych Usenetu jest artykuł. Jest to wiadomość, 
napisana przez użyt kow ni ka i „wysłana" do sie ci. Aby sys tern grup dys ku syj nych 
mógł ją obsłużyć, dodawane są do niej informacjeadministracyjne(tak zwany na¬ 
głów ek ar ty kułu). Jest onbar dzo po dob ny do nagłów ka pocz ty zgod ne go ze stan dar- 
dem RFC-822. Również składa się z kil ku wier szy tek stu, z któ rych ka żdy roz po czy- 
na się od na z wy po la za ko ńczo nej dwu krop kiem; po nim wy stę pu je war tość po la.* 


FormatwiadomośriUsenetjestokreślonyprzezRFC-1036 Standard for in ter chan geofUSENETmessa ges 
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Ar ty kuły są wy syłane do jed nej lub kil ku grup dysku syj nych. Mo żna po wie dzieć, że 
grupa dyskusyjna to forum artykułów związanych z jakimś tematem. Wszystkie 
gru py dys ku syj ne są uporządko wa ne w pew nej hie rar chii, a na zwa gru py wska zu je 
miej sce w tej hie rar chii. Czę sto na tej pod sta wie łatwo jest stwier dzić, cze go do ty czy 
dana grupa. Na przykład każdy może na podstawie nazwy grupy comp.os.linux. 
announce stwier dzić, że do ty czy ona ogłoszeń związa nych z kom pu te ro wym sys te 
mem operacyjnymonazwieLinux. 

Artykuły te są następnie wymienianepomiędzy wszystkimi ośrodkami Usenetu, 
które chcą udo stęp niać daną gru pę. Gdy dwa ośrod ki ustalą, że będą wy mie niać 
wia domości,mogąprzesyłaćsobiedo wol ne gru py, a na wet do da wać s wo je lo kał ne 
hierarchie gru py. Na przykład groucho.edu mógłby mieć połączę nie z barnyard. 
edu, czy li główn ym do stawcą grup, i kil ka połączeń z mniej szy mi ośrod ka mi, do 
których by te gru py prze ka zy wał. Bar ny ard Col le ge może od bie rać wszyst kie gru py 
Usene tu, na to miast GMU tył ko kil ka główn ych hie rar chii, jaksci, comp czy rec. Ja kiś 
inny ośrodek, powiedzmy ośrodek UUCP brewhą, będzie udostępniać jeszcze 
mniej grup, po nie waż nie ma wy star czających zasobów sie cio wych i sprz ę to wych 
na obsługę wszystkich. Z drugiej strony brewhą może jednak obsługiwać grupy 
z hie rar chiifj, których nie ma GMU. Mu si więc mieć do dat ko we połączę nie z gar gle- 
blaster.com, który po sia da wszyst kie gru py fj i do star cza je do brewhą. Przepływ 
grup po ka zu je ry su nek 20 -1. 




Rysu nek20-1 . Przepływ grup Usenet na uni wer sy te cie Gro ucho Marx 
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Rozdzial20:Grupy dyskusyjne 


Pod pi sy przy strzałkach po chodzących odbrewhąmogą jed nak wy ma gać pew ne go 
wyjaśnienia. Domyślnie, brewhą chce, aby wszystkie grupy generowane lokal nie 
były wy syłane do groucho.edu . Jed nak po nie waż groucho.edu nie obsługu je grup 
fj, nie ma sen su wy syłać żad nych wia do mo ści z tych grup. Dla te go da ne prze syłane 
z brewhą do GMU są opi sa ne ja ko: a 11, ! f j , co ozna cza, że są wy syłane wszyst kie 
gru pypozajj. 

Jak Usenet obsługuje grupydyskusyjne 

W dzi siej szych cza sach Usenet rozrósł się do niesłycha nych rozm iarów. Ośrod ki po¬ 
siadające wszyst kie gru py zwy kle prze syłają mar ne 60 MB dzień nie*. Oczy wiś cie 
nie da się tego zrobić zwykłym rozdaniem plików dookoła. Przyj rżyj my się więc, 
w ja ki sp osób wię k szość sys t emów Unix obsługu je gru py Usenet. 

Wszyst ko za czy na się, gdy użyt kow ni cy piszą i wy syłają ar ty kuły. Ka żdy użyt kow- 
nik pisze ar ty kuły w spe cjal nej apli ka cji, tak zwa nej przeglądar ce grup dys ku syj- 
nych (ang. newsreader), która odpowiednio je formatuje w celu przesłania do lokal¬ 
ne go ser we ra grup dys ku syj nych. W śro do wi skach unik so wych przeglądar ka grup 
zwy kle uży wa po le ce nia inews do przesłania ar ty kułów do ser we ra za po mocą pro¬ 
tokołu TCP/IP. Mo żli we jest jed nak rów nież za pi sa nie ar ty kułu bez po śred nio do 
pliku w specjalnym katalogunazywanym buforem grup. Gdy tak przygotowana 
wia do mość zo sta nie do star czo na do lo kał ne go ser we ra grup dys ku syj nych, bie rze 
on od po wie dział ność za do star cze nie ar ty kułu do in nych uż y tkowników gru py. 

Gru py są roz po wszech nia ne w sie ci za po mocą ró żnych pro to kołów trans por to wych. 
Kiedyś najczęściejkorzystano z UUCP, ale obecnie główny ruch jest generowany 
przez ośrod ki in ter ne to we. Uży wa ny al go rytm ru tin gu jest na zy wa ny trasowaniem 
rozpływowym (ang. flooding). Każdy ośrodek utrzymuje kilka połączeń (dostawców 
grup - ang. newsfeeds ) z inny mi ośrod kami. Każdy ar ty kuł wy generowany lub ode 
bra ny przez lo kał ny sys tern grup jest prze ka zy wa ny ośrod kom, o ile jesz cze w nich 
nie był. Ośro dek może do wie dzieć się, w ja kich ośrod kach ar ty kuł już był, od czy¬ 
tując pole nagłówka Path:. Nagłówek ten zawiera listę wszystkich systemów, 
przez które ar ty kuł prze cho dził, za pi saną w no ta cji wy ka zu tra so wa nia. 

Aby rozróżnić artykuły i wykryć duplikaty,artykuły Usenet mają identyfikatory 
(ID) wiadomości (określone w polu nagłówka Message-ID :), które składają się 
z na zwy ośrod ka wy syłające go i nu me ru se ryj ne go: < n umer@ oDr o dek>. ID ka ż de 
go prze two rzonegoartykułujestzapisywanewpliku history, zktórymsąpo rów ny- 
wane wszyst kie no wo przy chodzące ar ty kuły. 

Przepływ pomiędzy dwoma dowolnymi ośrodk ami może być ogran icz ony przez 
dwa kry ter ia. Z jed nej stro ny nadaw ca przy pis uje ar tykułowi dys tryb ucję (w po lu 
nagłówka Distribution :). W ten sposób mo żna zawsze roz powszechnie artykuł 
do okreś lonej gru py ośr odków. Z dru giej stro ny równ ież sys tern od biorc zy może 
nałożyć swo je ogran icz enia. Ze staw grup dys kus yjny ch i dys tryb ucji, któ re mogą 
być prze syłane przez ośrodki, naj częś ciej jest opis any w pli ku sys. 


Za raz, za raz... 60 MB z pręd ko śdą 9600 bps, to daje 60 mili on ów razy 1024, czy li... ja kieś 34 go dzi ny! 
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Zwy kle po trzeb ne są ja kieś po praw ki w tym sche ma cie. W sie ciach UUCP sys te my 
zbierają artykuły przez jakiś czas, łączą je w jeden plik, który jest kompresowany 
i wy syłany do ośrod ka zdał ne go. Pro ce du ra ta no si na zwę przetwarzaniawsadowego 
(ang. batching). 

Al tern aty wną tech niką jest protokół ihcwe/sendme, który za pob iega prze syłaniu zdu- 
plikowanych artykułów, dzięki czemu oszczędza przepustowość sieci. Zamiast 
umieszc zać wszyst kie ar tykuły w pli kach wsa dow ych i wy syłać je w całości, w gi¬ 
gant ycznym pli ku „ihave" łączo ne są tyl ko ID wia dom ości i wy syłane do ośrodka 
zdał nego. Ośrod ek zdał ny od czyt uje ten plik, porównuje z pli kiem hi stor ii, po czym 
w wia dom ości „send me" zwra ca li stę ar tykułów, kt óry ch po trzeb uje. Wy syłane są 
tyl ko żąda ne ar tykuły. 

Oczy w iście proto kół ihave / send me ma sens tyl ko wte dy, gdy do tyc zy dw óch du¬ 
żych oś rodków, kt óre po bier ają gru py z nie zal eżn ych źró deł i spraw dzają się na- 
wzaj em na ty le czę sto, żeby przepływ wia dom ości był efekt ywny. 

Ośrod ki w In ter ne cie zwy kle opie rają się na opro gra mo wa niu TCP/IP, które wy ka 
rzystuje protokół NNTP ( Network News Transfer Protocol). NNTP jest opisany 
w RFC-977. Jest on od po wie dział ny za prze sy łanie grup mię dzy ser we ra mi i za pew- 
nia po je dyn czym użyt kow ni kom do stęp do zdał nych host ów. 

NNTP ofe ru je trzy różne spo so by prze syłania grup. Je den to wer sja ihave/send me 
działająca w cza sie rzeczy wistym, na żywa na także wciskaniem (ang. pushing) grup. 
Druga tech ni ka no sina zwę ścfć?ya?zw (ang. pulling) grup i w niej klient pro sio li stę ar- 
ty kułów wda nej gru pie lub hie rar chii, któ re do tarły do ser we ra po okre ślo nym cza¬ 
sie, i wy bie ra te, których nie ma w pli ku hi sto rii. Trze cia tech ni ka służy do in te rak- 
ty w ne go czy ta nia grup i po zwa la tobie lub two jej przeglądar ce grup na po bie ra nie 
artykułów z zadanych grup oraz wysyłanie artykułów z niepełną informacją 
w nagłów ku. 

W każdym ośrodku grupy dyskusyjne są przechowywane w hierarchii katala 
gów po niż e)lvarlspoollnews, gdzie ka żdy ar ty kuł znaj du je się w od dziel nym pli ku, 
a ka ż da gru pa w od dziel nym ka ta lo gu. Na zwa ka ta lo gu jestbu do wa na na pod sta¬ 
wie na zwy gru py, z tym że poszczególne człony są ko lej ny mi pod ka ta lo ga mi. I tak, 
artykuły z comp.os.Hnux.misc są przechowywane w /var/spool/news/comp/os/linux/ 
misc. Ar ty kulom w gru pie są przy pi sy wa ne nu me ry w ko lej no ści, w ja kiej ar ty kuły 
nad chodzą. Ty mi nu me ra mi na zy wa ne są ko lej ne pli ki. Za kres nu merów ak tu al nie 
do stęp nych ar tykułów jest prze cho wy wa ny w pli kuactwe, który służy jed no cze śnie 
ja ko li sta ar ty kułów zna nych da ne mu ośrod ko wi. 

Po nie waż miej sca na dys ku stop nio wo uby wa, mu sisz po ja ki mś cza sie wy rzu cać ar 
ty kuły*. Zwy kle ar ty kuły z pew nych grup i hie rar chii wy ga sają po okre ślo nej licz bie 
dni od ich przy by cia. Może to zmie nić au tor, okre ślając da tę wy ga śnię cia w po lu 
Expires : nagłówka artykułu. 


Nie którzy uwa żają, że Usenet jest spi skiem pro ducentów mod emów i dys ków twar dych. Na zy wa s ię 
to wygasaniem (ang. expiring ) 




366 
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Wiesz już wy star czającodużo,by samemu wy brać sobie dalsze lek tu ry. Użytkowni¬ 
cy UUCP po win ni prze czy tac roz dział 21 do tyczący C News. Je żeli ko rzy stasz z sie ci 
TCP/ IP, prze czy taj roz dział 22 oma wiający NNTP. Je żeli chcesz prze syłać umiar ko¬ 
waną licz bę grup przez TCP/IP, ser wer tam opi sa ny może ci wy star czyć. Aby za in¬ 
stalować wydajny serwer grup dyskusyjnych, który jest w stanie obsługiwać 
ogromną licz bę ma te riału, prze czy taj roz dział 23, In ter net News. 




»* 


C News 



Jednym znajpop ularniejszych pakietów oprogramowania grup dys kusyjnychjestC 
News. Zo stał za proj ekto wany dla ośrodków obsługujących gru py dys kus yjne przez 
łącza UUCP. Ten roz dział omaw ia ogól ne po jęc ia C News, pod staw ową in stal ację 
izadaniaadmini stracyjne. 

C News przechowuje swoją konfigurację w plikach w kata logu /etc/news, a więk¬ 
szość je go pl ików bi nar nych znaj du je się w ka ta lo gu /usr/lib/news. Ar ty kuły są prze 
chowywane w katalogu luarlspool/news. Powinieneś zadbać o to, aby praktycznie 
wszystkie pliki w tych kata logach były własnością użytkownika news lub grupy 
news. Problemy powstają głównie wtedy, gdy pliki są niedostępne dla C News. 
Użyj po le ce nia su, by stać się użyt kow ni kiem news, za nim za czniesz co kol wiek re 
bić z tymikatalogami. Jedynym wyjątkiem jest polecenie setnewsids, używane do 
ustawienia rzeczywistego ID użytkownika niektórych programów do obsługi 
grup dys ku syj nych. Mu sibyć ono własno ścią użyt kow ni karoot i mieć usta wio ny bit 
setuid. 

W tym rozdziale opiszemy szczegółowo wszystkie pliki konfiguracyjne C News 
i po ka żerny, co mu sisz zro bić, by twój ośro dek działał. 


Dostarczanie grup dyskusyjnych 


Ar ty kuły mogą być do star cza ne do C News na kil ka spo sobów. Gdy lo kal ny użyt¬ 
ków nik wy syła ar ty kuł, przeglądar ka grup dys ku syj nych zwy kle prze ka zu je go po¬ 
le ceniem inews, kt óre uzu pełnia in for ma cje w nagłów ku. Gru py z ośr odków zdal¬ 
nych, czy to po je dyn czy ar ty kuł, czy całe pli ki wsa do we, są prze ka zy wa ne po le ce 
niem rnews, które za pi su je je w ka ta lo gu /var/spool/nezvs/in.coming, z kt órego z ko lei 
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Roz dział 21: C News 


są pó źn iej po bie ra ne przez newsrun. W ka ż dej z obu tych tech nik ar ty kuł osta tęcz nie 
zo sta nie prze ka za ny do po le ce marelaynews. 

Polecenie relaynews najpierw sprawdza, czy artykuł był już w ośrodku lokalnym. 
W ty m ce lu przegląda ID wia dom ości w pli ku history. Zdu plik owa ne ar tykuły są od¬ 
rzucane. Następnie relaynews zagląda do pola Newsgroups : nagłówka, aby do- 
wied zięć się, czy lo kalny ośrod ek przyj muje ar tykuły z tych grup. Je żeli tak, a gru pa 
jest wpi sana w pli ku actwe, relaynews pr obuje za chow ać ar ty kuł w od pow iednim ka- 
tal ogu w ob szar zebu fora grup. Je żeli ka tal og nie ist nieje, jest two rzony. ID ar tykułu 
jest na stępn ie za pis y wa ne do pli ku history W prze ciwn ym ra zie relaynews od rzuca 
artykuł. 

Czasem poleceniu relaynews nie uda się zachować przychodzącego artykułu, po- 
niew aż gru pa, do której zo stał wysłany, nie ist nieje w two im pli ku actwe. W ta kiej sy¬ 
tuacji, ar ty kuł jest prze nos zony do gru py junk *; relaynews spraw dza ta kże, czy ar¬ 
tykuł nie jest sta ry lub źle da tow any. Je śli jest - od rzuca go. Przy chodzące wsa dy, 
które mają jakiekolwiek błędy, są przenoszone do katalogu loar/spo ol/newslin.co- 
ming/bad i za pis y wa ny jest ko mun ikat błędu. 

Następnie ar ty kuł jest prze ka zy wa ny do wszyst kich po zo stałych ośrodków, które 
żądały wia do mo ści z tych grup. W tym ce lu ko rzy sta się ze śród ka trans por tu ośrod¬ 
ka zdał ne go. Aby ar ty kuł nie zo stał wysłany do ośrod ka, w którym już był, ka żdy 
do ce lo wy ośro dek jest spraw dza ny w po lu nagłów ka P a t h :, kt óre za wie ra li stę oś¬ 
rodków, przez które ar ty kuł do tej po ry prze szedł, za pi sa nych w po sta ci wy ka zu tra¬ 
so wa nia UUCP (patrz roz dział 17, Pocztaelektroniczna) .Je żeli na zwy ośrod ka do ce Io¬ 
wę go nie ma na tej liś cie, ar ty kuł jest do nie go wy syłany. 

Sys tern C News jest po wszech nie uży wa ny do prze ka zy wa nia grup dys ku syj nych 
po mię dzy ośrod ka mi UUCP, choć mo żli we jest ta kże je go za sto so wa nie w śro do wi- 
sku NNTP. Do do star cze nia wia do mo ści do zdał ne go ośrod ka UUCP, czy to będą 
po je dyn cze ar ty kuły, czy całe wsa dy, służy po le ce nie uux. Po le ce nie to uru cha mia 
rnews w zdał nym ośrod ku i prze ka żuje ar ty kuł lub wsad na je go stan dar do we we jś- 
cie. Wię cej in for ma cji na te mat UUCP znaj dziesz w roz dzia le 16, Zarządza nie UUCP 
Taylora. 

Przetwarzaniewsadowe (ang. batching) ozna cza wy syłanie du żych por cji po je dynczych 
ar ty kułów za jednym ra zem. Gdy prze twa rza nie wsa do we jest włączo ne dla da ne go 
ośrodka, C News nie wysyła przychodzących artykułów natychmiast, ale dodaje 
ścieżkę do pli ku, zwy kle out.going/site/togo. Co ja kiś czas zcrontaba jest wykony wany 
pro gram, któ ry od czy tu je plik i pa ku je wszyst kie wska za ne ar ty kuły w je den lub kil¬ 
ka pli ków, opcjo nal nie je kom pre su je i wy syła dornezcs w ośrod ku zdał nym**. 


* Mogą ist nieć róż nice po mię dzy gru pa mi obec ny mi w two im ośrod ku, a tymi, które chce on otrzy my¬ 
wać. Na przykład na liś cie sub skryp cyj nej może znaj do wać si ęcomp.all, co ozna cza prze syłanie wszyst¬ 
kich grup z hie rar chii comp, ale twój ośro dek może nie za wie rać w pli ku actwe kil ku z nich. Ar ty kuły 
wysyłane do tych bra kujących gru p są prze no szo ne do junk. 

** Zauważ, że po winien to byćcrontobużytkownikanews.Wtedyniezostaną po mieszaneprawa dostępu 
do plików. 
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Rysunek21-1 pokazujeprzekierowywaniewiadomości przez relaynews. Artykuły 
mogą być prze ka zy wa ne do ośrod ka lo kał ne go (ozna czo ne go ja ko ME), do ośrod ka 
o nazwie ponderosa przez e-mail i do ośrod ka moria, dla którego włączone jest 
prze twa rza nie wsa do we. 



Ry su nek 21 -1 . Przepływ wia do mo ści przez re lay news 


Instalacja 

C News po wi nien znaj do wać się w po sta ci pa kie tu we wszyst kich obec nie do stęp 
nych dys try bu cjach Linuk sa, tak więc in sta la cja jest do syć pro sta. Je żeli go nie ma 
lub je żeli chcesz in sta lo wać ory gi nal ny kod źródłowy, możesz to oczy wiś cie zro bić*. 
Bez wzglę du na to, jak go za in sta lu jesz, bę dziesz mu siał do ko nać edy cji pli ków kon- 
f i gu ra cyj nych. Ich f or ma ty są opi sa ne po niż ej: 

sys 

Plik sys kon tro lu je, któ re gru py twój ośro dek otrzy mu je i prze ka żuje da lej. Oma¬ 
wia my go szc zegółowo w na stęp nym pod roz dzia le. 

active 

Zwykle nie jest edytowany przez administratora. Zawiera wskazówki co do 
obsługi ar tykułów z grup dys kus yjny ch obsługiw any ch przez ośrod ek. 

* Pakiet z kodem źródłowym C News możesz uzyskać z ośrodka macierzyste go ftp.cs.toronto.edu 
Ipub/c-news/c-news.tar.Z 
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Roz dział 21: C News 


organization 

Tenplikpowinienzawieraćnazwę two jej or gan iza cj i, na przykład „ Bro war wir- 
tua lny Inc.". W swo im kom put erze wpisz „ośrod ek pry watny" lub co kolw iek in¬ 
nego. Wię k szość osób nie uzna two jego ośrodka za skon fig uro wany po prawn ie, 
je żeli nie bę dziesz miał tego pli ku. 

newsgroups 

Ten plik za wie ra li stę wszyst kich grup dys ku syj nych z jed no wier szo wy m opi sem 
ka ż dej z nich. Te opi sy czę sto są uży wa ne przez przeglądar ki grup przy wy świe- 
tla niu li sty grup, do kt órych je steś za pi sa ny. 
mailname 

Na zwa pocz towa two jego ośrodka, na przykład vbrew.com. 
wlioami 

Na zwa two jego ośrodka używ ana do celów związa nych z gru parni dys kus yjny- 
mi. Czę sto używ ane są na zwy UUCP oś rodków, na przykład vbrew. 

explist 

Po wi nie neś ra czej wy edyt ować ten plik, umieszc zając w nim pre fer owa ne cza sy 
wy gaś nięcia dla da nych grup dys kus yjny ch. Miej sce na dys ku może od gryw ać 
istotną rolę w do kon ywa nych przez cie bie wy bor ach. 

W celu utworzenia wstępnej hierarchii grup dyskusyjnych, zdobądź pliki actwe 
i newsgroups z ośrod ka, z które go pobie rasz gru py. Za in sta luj je w ka ta lo gu/etc/news, 
upew niając się, że są własno ścią użyt kow ni ka news i ustaw tryb 644 poleceniem 
chmod. Usuń z pli ku actwe wszyst kie gru py to. * i do daj to.moj-osrodek, to.osro dek-do- 
starczajacy, junk i control. Gru py to. * zwy kle są uży wa ne do wymiany wiadomości 
ihave/sendme. Powinieneś je mieć bez względu na to, czy planujesz używać 
ihave/send me, czy nie. Na stęp nie zmień wszyst kie nu me ry ar ty kułów w dru gim 
i trze cim po lu actwe za po mocą po niż szych po le ceń: 

# cp active active.old 

# sed 's/ [0-9]* [0-9]* / 0000000000 00001 /’ active.old > active 

# rm active.old 

Dru gie po lec enie wy woluje edyt or stru mień iowy sed. Wy wołanie to za stęp uje dwa 
ciągi znaków skład ające się z cyfr, od po wied nio, ciągiem zer i ciągiem 00001. 

Na ko nieć st wórz ka tal og bu for owy grup dys kus yjny ch i pod kat alo gi używ ane dla 
przy chodzących i wy chodzących grup: 

# cd /var/spool 

# mkdir news news/in.coming news/out.going news/out.master 

# chown -R news.news news 

# chmod -R 755 news 

Je żeli używ asz skom pil owa nej przeglądar ki grup po chodzącej z in nej dys tryb ucji C 
News niż ser wer, może się okaz ać, że oczek uje ona bu fora grup w ka tal ogu /usr/spo- 
ol/news, a nie w /oar/spool/news .Je żeli two ja przeglądarka grup nie widzi żadnych ar¬ 
tykułów, stwórz do wiąza nie sym boi iczne od/usr/spool/news do loarlspool/news w na¬ 
stęp ujący sposób: 

# ln -sf /usr/spool/news /var/spool/news 
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Teraz jesteś gotów na przyjmowanie grup dyskusyjnych. Zauważ, że nie musisz 
two rzyć kat alo gów dla poszczególnych grup. C News au to ma tycz nie two rzy bra¬ 
kujące ka ta lo gi bu fo ro we dla wszyst kich grup, których ar ty kuły przyj mu je 

W szcze gó lności są one two rzo ne dla wszystkich grup, do których ar ty kuł był wy¬ 
syłany w sposób wie lo adre so wy (ang. cross-posted). Po chwi li stwier dzisz więc, że 
twój ka ta log bu fo ro wy wy pełnił się ka ta lo ga mi grup, do których nig dy się nie za pi¬ 
sywałeś, jak alt.lang.teco. Możesz temu zapobiec, usuwając wszystkie niechciane 
gru py z pli ku active lub re gu lar nie uru cha miając skrypt usu wający wszyst kie pu ste 
podkatalogikatalogu/uar/spoo//neros (oczy wiś cie za wyjątkiem out.going i in.coming). 
C News potrzebuje użytkownika, do którego może wysyłać komunikaty błędów 
i raporty o sta nie. Do myśl nie jest nimusenet. Jeżeli używasz usta wień domyślnych, 
mu sisz stwo rzyć alias, dzię ki któr emu pocz ta bę dzie prze ka zy wa na do jed nej lub 
kilku odpowiedzialnych osób. Możesz także zmienić to zachowanie, ustawiając 
zmienną środowiskowąNEWSMASTER na odpowiednią nazwę. Musisz to zrobić 
w pli ku crontab użyt kow ni kanews. To po stępo wa nie trze ba po wta rzać za ka żdym 
ra zem, gdy uru cha miasz ręcz nie na rzę dzia ad mi ni stra cyj ne, a więc za pew ne łatwiej 
będzie zainstalować alias. Aliasy pocztowe są opisane w rozdziale 18, Sendmail, 
i w rozdziale 19, Exim. 

Gdy edy tu jesz plik/etc/passwd, za dbaj o to, by ka żdy użyt kow nik miał wpi sa ne swo¬ 
je praw dzi we na zwi sko w po lu p w_ge c o s (czwar te po le). Zgod nie z ne ty kietą (ety¬ 
kietą działania w sieci), nazwisko rzeczywistego nadawcy powinno pojawić się 
wpoluFrom: artykułu. Oczy wiś cie i tak bę dziesz chciał, żeby to po le było po praw¬ 
nie wy pełnio ne, je żeli uży wasz pocz ty. 

Plik sys 

Plik sys umieszczony w katalogu /etc/news kontroluje, które hierarchie odbierasz 
i prze ka zu jesz da lej do in nych oś rodków. Choć ist nieją na rzę dzia zarządzające o na¬ 
zwach addfeed i delfeed, wy da je nam się, że le piej jest utrzy my wać ten plik ręcz nie. 
Plik sys za wie ra wpi sy dla ka ż de go ośrod ka, które mu prze ka zu jesz gru py, oraz opis 
grup, które przyj mu jesz. Pierw szy wiersz to wpis ME opi sujący twój sys tern. Bez- 
piecz nie jest za pi sać go tak: 

ME:all/all: : 

Mu sisz ta kże do dać wiersz dla ka ż de go ośrod ka, które mu do star czasz gru py. Ka żdy 
wiersz wygląda tak: 

cLrodek [/wykluczenia ] : listagrup[ /listadyst ] [: znaczniki [ -.polecenia ] ] 

Wpi sy mogą ciągnąć się przez kil ka wier szy, je żeli użyj esz zna ku od wrotn ego ukoś¬ 
nika (\) na ko ńcu wier sza, który ma być kon tyn uow any. Znak hasha (#) wska żuje na 
komentarz. 

oDrodek 

Jest to na zwa ośrodka, którego do tyc zy wpis. Zwy kle umieszc za się tu taj na zwę 
UUCP ośrodka. W pli kusys musi znaj dow ać się ta kże wpis dla two jego ośrod ka; 
inaczej nie bę dziesz otrzym ywał ar tykułów. 
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Specjał na nazwa ME ozna cza twój ośro dek. Wpis ME definiuje wszystkie grupy, 
któ re chcesz prze cho wy wać lo kal nie. Ar ty kuły nie pa sujące do wier sza ME będą 
prze no szo ne do gru py junk. 

Aby nie do pu ścić do po wsta nia pę tli, C News od ma wia przy ję cia wszyst kich ar- 
ty kuło w, kt óre przeszły już przez dany ośro dek. W tym celu spraw dza, czy lo kal- 
ny ośro dek nie po ja wił się w polu Path : artykułu. Niektóre ośrodki mogą być 
zna ne pod róż nymi po praw ny mi na zwa mi. Na przykład niektóre ośrodki uży¬ 
wają w tym polu swoich pełnych nazw domenowych lub aliasu na przykład 
news . oDrodek . domena. Aby mieć pewność, że mechanizm za pobiega nia po- 
wsta wa niu pę tli za działa, wa żne jest doda nie wszyst kich aliasów do li sty wy klu¬ 
czem Wpi su je się je, od dzie łając prze cin ka mi. 

W przypadku wpisu dotyczącego ośrodka moria, pole oDrodek miałoby na 
przykład wartość moria/moria . orcnet. org. Jeżeli moria miałby również 
alias news.orcnet.org, to nasze pole oDrodek miałoby wartość moria/mo¬ 
ria.orcnet.org, news.orcnet.org. 
listagrup 

Jest to, od dzie la na prze cin ka mi, li sta grup, do kt órych je ste śmy za pi sa ni, i hie rar- 
chii dla da ne go ośrod ka. Hie rar chia może być poda na przez okre śle nie przed¬ 
rostka (jak comp.os dla wszystkich grup, które się zaczynają od takiego ciągu 
słów), po którym opcjonalnie wy stępuje słowo kluczoweaW (czy linp .comp.os.alt). 

Możesz wy klu czyć jakąś hie rar chię lub gru pę z prze ka zy wa nia, po prze dzając ją 
wy krzyk ni kiem. Je żeli gru pa jest spraw dza na z listą, zaw sze jest do pa so wy wa na 
najdłuż szym zgod nym ciągiem znak ów. Na przykład gdy by 1 i s t a grup za wie 
rała taką li stę: 

!comp,comp.os.linux,comp.folklore.computers 

to z hierarchii comp. zostałyby pobrane tylko comp.folklore.computers i grupy 
comp.os.linux. 

Je żeli ośro dek ma prze ka zy wać wszyst kie gru py, któ re sam po bie ra, wpro wa dź 
jako listagrupslowokluczowe all. 

listadyst 

Ta wartość jest od dziel ona odl i sty grupukoś nikiemizawieralistędys trybucji 
do prze kaz ywa nia. Znów możesz wy kluc zyć pew ne dys tryb ucje, po przed zając 
je wy krzykn iki em. Wszyst kie dys tryb ucje są opis ywa ne słowema 11 . Po min ięcie 
lis ty dys t po wod uje przyjęć ie war toś ci do myś lnej all. 

Na przykład możesz użyć li sty dys try bu cji: a 11, ! 1 o c a 1 aby gru py prze zna czo ne 
tyl ko do użyt ku lo kal ne go nie były wysyłane do oś rod ków zdalnych. 

Zwy kle ist nieją co naj mniej d wie dys try bu cje: wo r 1 d, czę sto sto so wa na do my śl- 
nie, gdy użyt ko w nik nie wska że in a czej, i 1 o c a 1 . Mogą ist nieć inne dys try bu cje 
do tyczące za da ne go re jo nu, sta nu, kra ju itd. Poza tym ist nieją dwie dys try bu cje 
używa ne tylko przez C News. Są to: sendme i ihave wy korzy sty wane wpro to- 
kolesendme/ihave. 
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Mo żna się za sta na wiać, czy war to uży wać dys trybu cji. Pole dys try bu cji w ar ty- 
kule może być tworzone losowo, ale aby dystrybucja działała, serwery grup 
w sieci muszą ją znać. Niektóre błędnie działające przeglądarki grup tworzą 
fałszy we dys try bu cje, po nie waż zakładają, że sen sowną dys try bu cją jest główny 
po ziom hie rar chii ar ty kułu, na przykład, że dla comp.os.linux.networking byłaby 
to comp. Dystrybucje dotyczące regionów także są często wątpliwe, ponieważ 
wia do mość może wy jść poza re gion, gdy jest wysyłana przez In ter net*. Dys try¬ 
bu cje związane z firmą są jed nak sen sow ne. Mo żna je sto so wać, aby za po biec 
wyciekowi tajnych informacji poza sieć firmową. Ten cel jednak lepiej jest 
osiągnąć, tworząc od dzielną gru pę lub hie rar chię. 

znaczniki 

Ta opcja opi su je pew ne pa ra me try wysyłanej por cji wia do mo ści. Może być pu sta 
lub sta no wić połączę nie na stę pujących znacz ników: 

F Ten znacz nik włącza prze twa rza nie wsa do we. 

f Pra wie iden tycz ny z F, ale po zwa la C News na dokład niej sze ob li cze nie roz- 
mia ru wy chodzący ch pl ików wsa do wych i ra czej ten znacz nik powinienbyć 
używa nyża miast F . 

I Ten znacz nik po wo du je, że C News ge ne ru je li stę ar ty kułów od po wied nią do 
uży cia z ihave/send me. Aby uru cho mić pro tokół ihave / send me, wy ma ga ne 
sądodatkowemodyfikacje wpliku sys i pli ku batchparms. 
n Ten znacz nik two rzy pli ki wsa do we dla ak ty w nych kl ien tów NNTP, jak nnt- 
pxm.it (zobacz roz dział 22,NNTP i de mon nntpd). Pliki wsa do we za wie rają na¬ 
zwę pli ku z ar ty kułem oraz jego ID. 

L TenznacznikmówiCN e ws, aby prze syłał tyl ko ar ty kuły stwo rzo ne w two im 
ośrod ku. Po tym znacz ni ku mo żna wpi sać licz bę dzie siętną n, która po wo du¬ 
je, że C N e ws wysyła ar ty kuły tyl ko w ob rę bie n ho pów od two je go ośrodka. 
C News okre śla licz bę hopów na pod sta wie pola Pa th :. 
u Ten znacz nik mówi C News, aby prze twa rżał wsa do wo tyl ko ar ty kuły z grup 
niemoderowanych. 

m Ten znacz nik mówi C News, by prze twa rżał wsa do wo tyl ko ar ty kuły z grup 
moderowanych. 

Możesz użyć najwyżej jedne go ze znaczników F,f, I lub n. 

polecenia 

To pole za wiera po lec enie, kt óre zo stan ie wy kon ane dla ka żd ego ar tykułu, o ile 
nie włączysz przetwarzania wsadowego. Artykuł będzie przekazany na stan¬ 
dard owe we jśc ie po lec enia. Ta opcja po winna być używ ana tyl ko przy małej licz¬ 
bie ar ty kułów. W prze ciwn y m ra zie obciążeń ie obu sys temów będzie zbyt duże. 

Domyślne pole cenie to: 

uux - -r -z system-zdalny !rnews 


Nie jest ni czym dziw nym, że ar ty kuł wysłany, po wiedz my, w Ham bur gu, idzie do Frank fur tu przez 
reston.asn.net w Ho łan dii lub na wet przez ja kies ośrod ki w Sta nach. 
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Wywołuje ono rnews w sys te mie zdał nym, prze ka żując ar ty kuł na jego stan dar- 
dowewejście. 

Domyślna ścieżka poszukiwania zdefiniowana dla poleceń umieszczanych 
w tym polu to: /bin:/usr/bin:/usr/lib/news/batch.Tenostatnikatalogzawieraskryp- 
ty powłoki, który ch na zwy za czy nają się od via. Są one kr ótko opi sa ne w dal szej 
czę ści tego roz działu. 

Je żeli za po mocą jed nej z opcji F, f, I lub n włączonejestprzetwarzaniewsado- 
we, C News spo dzie wa się zna le źć w tym polu na zwę pli ku, a nie po le ce nie. Je 
żeli nazwa pliku nie zaczyna się od znaku ukośnika (/), zakłada się, że jest 
względ na do /var/spool/news/out.going. Je żeli pole jest pu ste, do my śl nie przyj mo¬ 
wa na jest war tość remote-system/togo. Ocze ku je się, że plik ma ten sam for mat, co 
plik remote-system/togo i za wie ra li stę ar ty kułów do wysłania. 

Przy kon fi gu ro wa niu C News praw do po dob nie bę dziesz mu siał stwo rzyć własny 
plik sys. Oto przykład o wy plik dla vbrew.com . Możesz z nie go sko pio wać to, co ci 
jestpotrzebne: 

# Bierzemy co dajD 
ME:all/all:: 

# WysyDamy wszystko do moria, z wyjDtkiem artykuDów lokalnych 

# i związanych z browarem, umywamy przetwarzania wsadowego 
moria/moria.orcnet.org:all,!to,to.moria/all,Ilocal,!brewery:f: 

# WysyDamy comp.risks do jack@ponderosa.uucp 
ponderosa:comp.risks/all::rmail jack@ponderosa.uucp 

# swim otrzymuje mniej grup 

swim/swim.twobirds.com:comp.os.linux,rec.humor.oracle/all, !local:f: 

# Zapisujemy artykuDy mail.map do dalszego przetwarzania 
usenet-maps:comp.mail.maps/all:F:/var/spool/uumaps/work/batch 

Plik active 

Plik active znajduje się w katalogu /etc/news i zawiera wszystkie grupy znane 
twojemu ośrodkowi oraz aktualnie dostępne artykuły. Rzadko będziesz musiał 
z nim co kol wiek ro bić, ale aby opis byl pełny, krótko go przed sta wimy. Wpi sy mają 
na stę pującą po stać: 

grupa maks min prawa 

grupa to na zwa gru py .maks i mintonaj niższy i naj wy ższy nu mer aktualnie do¬ 
stęp nych ar ty kułów. Je żeli wda nej chwi li ża den nie jest do stęp ny, min ma war tość 
równą maks+1. Do te go właśnie służy po 1 emin. Jed nak aby nie osłabiać działania, C 
News nie uaktualnia tego pola. Nie byłoby to problemem, gdyby nie istniały 
przeglądar ki, któ re się gają do te go po la. Na przykład trn spraw dza to po le, by zo ba¬ 
czyć, czy może usunąć ja kieś ar ty kuły ze s wo jej ba zy wątk ów. Aby uak tu al niać po le 
min, mu sisz uru cha miąć re gu lar nie po le ce nie updatemin (lub w star szych wer sjach 
C News je go od po wied nik: skrypt upact). 
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Pa ra metrpr a w a okreś la szcze gółowo pra wa do stępu uż ytko wników doda nej gru¬ 
py. Przyj muje on jedną z po niżs zych war toś ci: 

Y 

Użyt kow ni cy mają pra wo wysyłać ar ty kuły do tej gru py. 

n 

Użytkownicy nie mają prawa wysyłać artykułów do tej grupy. Jednak wciąż 
mogą czy tać za war te w niej ar ty kuły. 

x 

Ta gru pa zo stała lo kał nie za blo ko wa na. Dzie je się tak cza sem, gdy ad mi ni stra- 
torzy grup (lub ich przełożę ni) zezłoszczą się na pew ne ar ty kuły wysłane do ja¬ 
kichś grup. 

Ar ty kuły ode bra ne dla tej gru py nie są za cho wy wa ne lo kał nie, choć są prze ka zy 
wa ne do ośro dk ów, które o nie proszą. 

m 

Oznacza grupę moderowaną. Gdy użytkownik próbuje wysłać artykuł do tej 
gru py, in te li gent na przeglądar ka po wia da mia o tym i wysyła ar ty kuł do mo de 
ratora. Adresmoderatorajestpobieranyzplikumoderafors znaj dującego się w ka¬ 
talogu /var/lib/news. 

=rzeczywista-grupa 

Ozna cza, że grupa jest lo kał nym alia sem dla in nej gru py o na zwie rzeczywi - 
sta-grupa. Wszystkie ar ty kuły wysłane do grupy zostaną przekierowane do 
gru py rze czy wi stej. 

W C News zwy kle nie bę dziesz miał bez po śred nie go do stę pu do te go pli ku. Gru¬ 
py mogą być doda wa ne lub usu wa ne lo kał nie za po mocą po le c emddgroup idelgroup 
(zobacz pod rozdzialNarzędziaizadaniaadministracyjneko ńczący tenroz dział). Wiado¬ 
mość kontrolna newgroup dodaje gru pę w całym Usene cie, a rmgroup ją usuwa. 
Nigdy sam nie wysyłaj takiej wiadomości! Instrukcje, jak tworzyć grupy, znajdziesz 
w ar ty kulach wy syłanych co mie siąc do gru py news.announce.newusers. 

Plik actwe.times jest ściś le związa ny z pli kiem actioe. Gdy gru pa zo sta nie stwo rzo na, 
CNewszapisujedote go pli ku komunikatzawie rający na zwę utworzonej grupy, da¬ 
tę utworzenia, informacje, czy została utworzona przez komunikat kontrolny 
newgroup, czy lokalnie, oraz kto ją utworzył. Dane z tego pliku przydają się 
przeglądar kom grup, które mogą po wia da miąć użyt kow ni ka o no wo utwo rzo nych 
gru pach. Uży wa ne są ta kże przez po le ce ni eNEWGROUPS NNTP. 

Przetwarzanie wsadowe artykułów 

Wsa dy grup dys ku syj nych są zgod ne z pew nym for ma tern, któ ry jest iden tycz ny dla 
B News, C News i INN. Ka żdy ar ty kuł jest po prze dza ny na stę pującym wier szem: 

#! rnews liczba 

Parametr liczba okre śla roz miar ar ty kułu wbaj tach. Gdy uży wasz kom pre sji wsa- 
do wej, wy ni ko wy plik jest kom pre so wa ny ja ko całość i po prze dza ny in nym wier- 
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szem, który informuje o tym, że plik należy rozpakować. Standardowym narzę¬ 
dziem uży wa nym do kom pre sji jest compress i mo żna je roz po znać po na stę pującym 
wierszu: 

#! cunbatch 

Jeżeli ser wer grup wy syła wsa dy pocztą, która ze wszyst kich da nych usuwa ósmy 
bit, skom pres owa ny wsad należy za bezp iecz yć, uży w ając tak zwa negokodoivania-c7 
(c7-encoding). Ta kie wsa dy są oznac zane ja ko c7unbatch. 

Gdy wsad zo stan ie prze kaz any do rnews w ośrodku zdał nym, te znacz niki są spraw¬ 
dzane i plik jest od pow iednio prze twar zany. Niek tóre ośrodki uży w ają in nych na¬ 
rzędzi do kompresji, jak gzip, i wtedy poprzedzają skompresowane pliki słowem 
zunbatch. C News nie roz poz naje nie stand ardo wych nagłów ków jak ten. Aby były 
one obsługiw ane, mu sisz zmo dyf iko wać kod źródłowy. 

Przetwarzanie wsadowe artykułów w C News jest realizowane za pomocą pliku 
/usr/lib/news/batch/sendbatches, który bie rze li stę ar ty kułów z pli ku s ite/togo i umiesz¬ 
cza je w kil ku wsa dach. Po wi nien on być uru cha mia ny co go dzi nę lub na wet czę¬ 
ściej, w za le żno ści od in ten syw no ści ru chu.Je go działanie jest kon tro lo wa ne przez 
plik batchparmszna)du)ącysięwkatalogu/var/lib/nezvs. Plik ten opisu je: maksymalny 
roz miar wsa du do pusz czai ny dla ka ż de go ośrod ka, pro gra my uży wa ne do prze 
twa rza nia wsa do we go i opcjo nal nej kom pre sji oraz me to dę do star cza nia pacz ki do 
ośrod ka zdał ne go. Pa ra me try prze twa rza nia wsa do we go możesz okre ślić od dziel¬ 
nie dla ka ż de go ośrod ka. Na to miast dla ośrodków, które nie są zde fi nio wa ne nie ża¬ 
le żnie, trze ba je okre ślić w ra mach pa rametrów do my śl nych. 

Przy in sta la cji C News, naj praw do po dob niej znaj dziesz w swo jej dys try bu cji plik 
batchparms za wie rający od po wied nie wpi sy do my śl ne, a więc ist nie je du ża szan sa, 
że nie bę dziesz mu siał nic zmie niać w tym pli ku. Na wszel ki wy pa dek opi sze my jed¬ 
nak je go for mat. Ka żdy wiersz składa się z sze ściu pól od dzie lo nych spa cja mi lub ta¬ 
bulatorami: 

oLrodek rozmiar maks prog_prze_wsad kompr transport 
oDrodek 

oOrodek to nazwa ośrodka, którego dotyczy wpis. Plik togo dla tego ośrodka 
musi znajdować się w out.goint/togo w katalogu bufora grup. Nazwa ośrodka 
/default / oznac za do myś lny wpis i pa suje do ka żd ego ośrodka, który nie jest 
zdefiniowanyindywidualnym wpisem. 

rozmiar 

rozmiar okreś la mak sym alny roz miar two rzon ych wsa dów ar tykułów (przed 
kom presją). Je żeli po jed yncze ar ty kuły są wię ks ze, niż ten roz miar, C News robi 
wyjątek i umieszc za ka żdy z nich w od dzieln ym pli ku wsa dow ym. 

maks 

maks określa maksymalną liczbę tworzonych i przygotowanych do wysłania 
wsad ów dla okreś lone go ośrodka. Jest przy datny w sy tua cji, gdy zdał ny ośrod ek 
jest przez długi czas nie czynny, gdyż za pob iega za śmie ca niu two ich kat alogów 
bu forowych UUCP mnó stwem wsa dów. 
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C News określa liczbę zakolejkowanych wsadów za pomocą skryptu cjueuelen 
znaj dującego się w ka ta lo gu/wsr/Hfr/nezes/. Gdy byś za in sta lo wał C News w po sta- 
ci pa kie tu, skryp tu nie trze ba by było edy to wać, ale gdy byś użył in ne go ka ta lo gu 
bu fo ro we go, jak na przykład UUCP Tay lora, mogłaby za jść po trze ba edy cji. Je 
żeli nie przejmujesz się liczbą buforowanych plików (ponieważ jesteś jedyną 
osobą używająca komputera i nie tworzysz megabajtów artykułów), możesz 
zastąpić za war tość skryp tu prostą dy rek ty wąexit 0. 
prog_prze_wsad 

Pole prog_prze_wsadzawierapolecenieużywanedogenerowaniawsaduzlisty 
arty kuło w zawar tej w pli ku togo. Wprzypadkuregularnegoprze syłania, z wy kle 
jest to batcher. W przy pad ku in nych za sto so wań, mo żna użyć in nych pr ogramów 
prze twa rza nia wsa do we go. Na przykład protokół ihave /send me wy ma ga, by li¬ 
sta artykułów była za mieniona na wiadomo ści kontro Ineihaue lub sendme, które 
są wysyłane do gru py to.site. Jest to re ali zo wa ne za pomocą batchib i batchsm. 
kompr 

Pole kompr określa polecenie realizujące kompresję. Zwykle jest to compcun, 
skrypt ge ner ujący skom pres owa ny wsad*. Załóżmy jed nak, że two rzysz skom- 
pres owa ny plik, uży w ając gzipa , po wiedzmy gz ipcun (za u waż, że mu sisz na pi¬ 
sać go sa mod zielnie). Mu sisz spraw dzić, czy uncompress w ośrodku zdał nym jest 
w sta nie roz poz na wać pli ki skom pres owa ne pro gram emgzip. 

Je żeli w ośrod ku zdał nym nie ma po le ce nia uncompress, możesz wpi sać nocomp 
i w og óle nie kom pre so wać pli ków. 

transport 

Ostat nie pole, transport, opis uje uży w any prot okół prze syłania. Do stępne jest 
kil ka stan dard owy ch po lec eń dla ró żny ch pro tokołów trans port owy ch. Ich na¬ 
zwy rozpoczynają się od via. Plik sendbatches przekazuje je do docelowego 
ośrodka w wier szu po lec eń. Je żeli wpis batchparms ma war tość różną od /de- 
f au 11 /, sendbatches po biera na zwę ośrodka z pola s i t e, ob cin ając wszyst ko po 
pierwszej krop ce lub ukoś niku włącznie. Je żeli wpis batchparms ma war tość 
/ de f au 11 /, używ ane są na zwy ka talogów z pli ku out.going. 

Aby zre ali zo wać prze twa rza nie wsa do we dla za da ne go ośrod ka, użyj po niż sze go 
polecenia: 

# su news -c "/usr/lib/news/batch/sendbatches site" 

sendbatches wy woły wa ne bez argumentów obsługu je wszyst kie żako lej ko wa ne wsa¬ 
dy. In ter pre ta cja „ali" za le ży od obec no ści do my śl ne go wpi su w batchparms. Je żeli 
zostanieonznaleziony, sprawdzanesą wszystkie pod katalogi/uar/spooZ/neies/oMf.go 
ing. W prze ciw nym ra zie sendbatches wykorzystujewszystkie kolejne wpisy w ba¬ 
tchparms, obsługując znalezione tam ośrodki. Zwróć uwagę, że sendbatches przy 


Wraz z C News jest roz po wszech nia ny compcun wy ko rzy stujący compress z opcją 12- bitową, po nie waż 
jest to naj mniej szy wsp ólny mia no w nik dla wię kszościośro dków. Możesz stwo rzyć skrypt, po wiedz¬ 
my compcunl 6 , który bę dzie uży wal kom pre sji 16- bi towej. Jed nak po pra wa nie jest znacząca. 
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przeglądaniu kata logu out.going uwzględ nia tyl ko te ka ta lo gi, kt óre nie za wie rają 
kro pek ani znaków @ w na zwach oś rodków. 

Istnieją dwa polecenia używające uux do wy wołania rnews w ośrodku zdalnym: 
viauux i viauuxz. To ostatn ie ustaw ia znacz nik-z dla uux, by star sze wer sje nie zwra¬ 
cały in form acji o po prawn ym do stare zeniu ka żdego ar ty kułu. In ne po lec enie, via- 
mail, wy syła wsa dy ar tykułów pocztą do użytk owni ka rnews w sys tern ie zdał nym. 
Oczyw iście wy maga to, by sys tern zdał ny ja koś do stare zał wszyst kie pocz ty prze 
znać zonę dla rnews do swo jego lo kaln ego sys temu grup dys kus yjny ch. Pełną li stę 
protokołów transportowych znajdziesz na stronie podręcznika elektronicznego 
newsbatch. 

Wszystkie polecenia z ostatnich trzech pól muszą być umieszczone w katalogu 
out.going/site lub /usr/lib/news/batch. Większość z nich to skrypty. Możesz łatwo 
dołączać no we, po trzeb ne ci na rzę dzia. Są one wy woływane przez po toki. Li sta ar¬ 
tykułów jest do stare zana pro gram owi prze twar zania wsa dow ego na je go stan dard- 
o we we jśc ie, na tom iast wsad do staj emy na je go stan dard owym wy jśc iu. Da le j jest on 
prze kaz ywa ny przez po tok do pro gramu kom pres ujące go i tak da lej. 

Oto przykład owy plik: 

# plik batchparms dla browaru 

# oDrodek | rozmiar |maksi prog_prze_wsad | kompr | trans 

# - 1 - 1 - 1 - 1 - 1 - 

/default/ 100000 22 batcher compcun viauux 

swim 10000 10 batcher nocomp viauux 

Wygasanie grup dyskusyjnych 

W B News wy ga sza nie mu si być re ali zo wa ne przez pro gram expire, który ja ko ar gu- 
men ty przyj mu je li stę grup wraz z cza sem, po którym wy ga sają ar ty kuły. Aby różne 
hierarchie mogły wy ga sać po różnym cza sie, mu sisz na pi sać skrypt, który bę dzie 
wy woły wał expire dla ka ż dej z nich nie za le żnie. C News ofe ru je wy god niej sze roz¬ 
wiążą nie. W pliku explist możesz okre ślićgru py i cza sy ich wy ga śnię cia. Po le ce nie 
doexpire zwy kle jest wy woły wa ne raz dzień nie z crona i prze twa rza wszyst kie gru py 
zgod nie z listą. 

Cza sem bę dziesz chciał dłużej za trzy mać ar tykuły z pew nych grup, na przykład 
pro gramy wysłane do gru py comp.sources,unix. Na żywa się to archiwizacją. W explist 
mo żna wskazać grupy, które chcesz ar chiw izo wać. 

Wpis w explist wygląda tak: 

listagrup prawa czas archiwum 

listagrup to oddzielanaprzecinkami lista grup dyskusyjnych, których dotyczy 
wpis. Hierarchie mogą być określane przez podanie przedrostka nazwy grupy 
z opcjo naln ym słowom a 11. Na przykład w przy padku wpi su do tyczące go wszyst¬ 
kich grup comp.os, wpro wadź comp . os lub comp . os . all. 

Przy wygasaniu ar ty kułów w gru pie, na z wa jest spraw dza na we wszyst kich wpi sach 
w pli ku explist wpodanejkolejności.Wykorzystywanyjestpierwszypasujący wpis. 
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Na przykład, aby wy rzu cić po czte rech dniach wię k szość ar ty kułów z grup comp, 
z wyjątkiem grupy comp.os.linux.announce, którą chcesz przechować przez ty¬ 
dzień, po pro stu mu sisz mieć dla tej ostat niej gru py wpis okre ślający, że wy ga sa ona 
po siedmiu dniach, a dalej wpis dotyczący okresu wygaśnięcia comp po czterech 
dniach. 

Po le pra w a za wiera sz czegóły, czy wpis do tyc zy grup mo der owa nych, nie mod ero- 
wan ych, czy wszyst kich. Może przyj mow ać war toś ci m, u lub x, które oznac zają od- 
po w iednio grupymoder owa ne,niemoderowanelubdo wolne. 

Trze cie po le, czas, zwy kle za wiera tyl ko jedną licz bę, która wska żuje, po ilu dniach 
ar tykuły wy gas ają, o ile w nagłów ku ar tykułu nie ma polaExpires: okres łające go 
inną da tę. Za uważ, że jest to licz ba dni li czona od dnia dotarcia ar tykulu do two jego 
ośrodka, a nie od da ty wysłania ar tykułu do gru py. 

Po le cza s może jed nak być bar dziej złożone. Są to trzy licz by od dzie lo ne od sie bie 
my śl ni ka mi. Pierw szy seg ment okre śla wte dy licz bę dni, która mu si minąć, za nim 
ar ty kuł zo sta nie uzna ny za kan dy da ta do wy ga śnię cia, na wet je żeli po leExp i r e s : 
już wy gasło. Uży wa nie tu innej warto ści niż ze rozwy kle nie ma sen su. Dru gi seg¬ 
ment to poprzednio wspomniana domyślna liczba dni, po których wygasa czas 
prze cho wy wa nia ar ty kulu. Trze ci seg ment to licz ba dni, po której czas dla ar ty kułu 
wy ga sa bez wa run ko wo, bez wzglę du na to, czy za wie ra po leE xpires:,czy też nie. 
Je żeli zo sta nie poda ny tyl ko śród ko wy seg ment, po zo stale dwa przyj mują war to ści 
do my śl ne. Mogą one być zde fi nio wa ne przez spe cjal ny wpis /bounds /, kt óry opi¬ 
sze my nie co da lej. 

Czwarte pole, archiwum, określa, czy grupa dyskusyjna ma być archiwizowana 
i gdzie. Jeżeli nie zamierzamy jej archiwizować, powinniśmy użyć myślnika. 
W prze ciw nym ra zie użyj pełnej ście żki (wska żującej ka ta log) lub zna ku @. Znak @ 
wskazujedomyślnykatalogarchiwum,którymusibyćna stęp nie podany w wierszu 
po le ceń doexpire za po mocą znacz ni ka -a. Ka ta log ar chi wum po wi nien być własno¬ 
ścią użytkownika news. Gdy doexpire archiwizuje artykuły, powiedzmy z grupy 
comp.sources.unix, zachowuje je w podkatalogu complsources/unix katalogu archi¬ 
wum, tworząc je, je żeli zaj dzie po trze ba. Sam ka ta log ar chi wum nie zo sta nie jed nak 
stworzony. 

W pliku explist znajdują się dwa specjalne wpisy, na których opiera się doexpire. 
Zamiast li sty grup dys ku syj nych za wie rają one słowa klu czo we /bounds / i / expi - 
red/. Wpis / b ou n d s / za wie ra do my śl ne war to ści dla trzech segmentów opi sa ne go 
po przed nio po la czas. 

Pole /expired/ okre śla, jak długo C News prze cho wu je wier sze w pli ku history. 
C News nie usu wa wier sza z pli ku hi sto rń za raz po wy ga śnię ciu od po wia dające go 
mu ar ty kułu, ale prze cho wu je go na wy pa dek, gdy by przy szedł je go du pli kat. Je 
żeli grupy dostajesz tylko z jednego ośrodka, ta wartość może być niewielka. 
W prze ciw nym ra zie za le ca się usta wić okres kil ku ty go dni w sie ciach UUCP w za le 
żności od doświadczenia w opóźnieniach artykułów przychodzących z różnych 
ośrodków. 
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Oto przykład owy plik explist o ra czej krótkich okres ach wy gaś nięcia: 

# przechowywanie historii przez dwa tygodnie. Daden artykuD 

# nie kOdzie przechowywany dDuDej nić trzy miesiDce 

/expired/ x 14 - 

/bounds/ x 0-1-90 

# grupy, które chcemy przechowywać dćuDej nić resztć 

comp.os.linux.announce m 10 

comp.os.linux x 5 

alt.folklore.computers u 10 - 

rec.humor.oracie m 10 

soc.feminism m 10 

# Archiwum grup *.sources 

comp.sources,alt.sources x 5 @ 

# domyćlne wartoćci dla grup technicznych 

comp,sci x 7 - 

# wystarczajDco na dćugi weekend 

misc,talk x 4 - 

# szybkie usuwanie Dmieci 

junk x 1 - 

# oraz niezbyt ciekawych wiadomoćci kontrolnych 

control x 1 

# i wpis dla pozostaćych rzeczy 

all x 2 - 


Wy ga sa nie stwa rza kil ka po ten cjal nych pr obi emów. Jed nym z nich jest to, że two ja 
przeglądar ka grup może opie rac się na trze cim po lu pli ku active opisanym wcze¬ 
śniej, za wie rającym naj mniej szy nu mer ak tu al nie do stęp ne go ar ty kułu. Gdy ar ty- 
kuły wy ga sają, C News nie uak tu al nia te go po la. Je żeli po trze bu jesz (lub chcesz),by 
po le to od zwier cie dlało rze czy wistą sy tu ację, mu sisz uru cho mić pro gram updatemin 
po każdym uruchomieniu doexpire. (W starszych wersjach C News robi to skrypt 
upad). 

C News nie realizuje wygasa nia przez przegląda nie ka talogów grup, a po pro stu 
sprawdza w pliku history, czy czas przechowywania artykułu ma wygasnąć*. Je¬ 
żeli plik historii w jakiś sposób się rozsynchronizuje,artykuły mogą pozostać na 
dys ku na zaw sze, po nie waż C News o nich za po mni**. Możesz to na pra wić, uży¬ 
wając skryp tu addmissingzna j dujące go się w ka ta lo gu /usr/lib/news/maint, kt óry do¬ 
da brakujące artykuły do pliku history lub mkhistory, który przebuduje cały plik 
od początku. Nie za po mnij przed wy wołaniem tych po le ceń we jść na kon to użyt¬ 
kownika news, gdyż w przeciwnym razie plik history będzie nieczytelny dla C 
News. 


Różne dodatkowe pliki 

Istnieje szereg plików, które kontrolują zachowanie C News, ale nie są istotne. 
Wszyst kie znaj dują się w ka ta lo gu /etc/news. Krótko je tu taj opi sze my: 


* Dataprzyjśdaarty kułujestzawartawśrodkowympoluwierszahistoriiijestzapisań a jako licz ba se¬ 
kund od 1 stycz nia 1970 roku. 

** Nie wiem dlaczego, ale od cza su do cza su to się zda rza. 
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newsgroups 

Jest to plik to wa rzyszący pli ko wi active, za wie rający li stę wszyst kich grup dys ku- 
syj nych wraz z jed no wier szo wym opi sem. Plik ten jest au to ma tycz nie uak tu al- 
nia ny, gdy C News od bie rze wia do mość kon tro Iną checknews. 

localgroups 

Jeżeli po sia dasz wie le grup lo kal nych, C News bę dzie in for mo wać o nich za 
każdym razem, gdy dostaniesz wiadomość checkgroups. Można temu za¬ 
pobiec, umiesz czając na zwy ich grup i opi sy w pli ku w for ma cie ta kim jak news¬ 
groups. 
mailpaths 

Ten plik zawiera adres moderatora dla każdej grupy moderowanej. Każdy 
wiersz za wie ra na zwę gru py, a po niej ad res e-ma il mo de ra to ra (od dzie lo ne ta¬ 
bulatorem). 

Domyślniedoda wane są dwa specjalne wpisy: backbone i internet. Oba są 
za pi sa ne w no ta cji wy ka zu tra so wa nia i za wie rają od po wied nio ście żkę do naj¬ 
bliższego ośrodka szkieletowe go oraz ośrodka, który rozumie adresy RFC-822 
(użytkownik@host). Do my śl ne wpi sy są na stę pujące: 

internet backbone 

Nie mu sisz zmie niać wpi su internet, je żeli masz za in sta lo wa ne go Exi ma lub 
sendmail. Ro zu mieją one ad re so wa nie RFC-822. 

Wpis backbone stosuje się wte dy, gdy użyt kow nik wysyła ar ty kul do gru py 
mo de ro wa nej, której mo de ra tor nie jest wpi sa ny bez po śred nio. Je żeli na zwa gru¬ 
py to alt. sewer, a backbone za wie ra wpispaf/z/%s, CNews wy śle ar ty kuł pocztą 
e-mail na adres patii!alt-sewer, mając nadzieję, że maszyna szkieletowa będzie 
w stanie przekazać go dalej. Możesz zapytać administratora grup na ser we 
rze, od którego je dostajesz, jakiej ście żki masz użyć. W osta tęcz no ści możesz 
użyć ta k żeuunet.uu.net!%s. 

distributions 

Ten plik w rzeczywistości nie jest plikiem C News, ale jest używany przez 
niektóre przeglądar ki grup i nntpd. Zawiera listędystrybucjirozpoznawanych 
przez twój ośrod ek i opis ich (za mier zonę go) działania. Na przykład bro war wir- 
tua lny po siada na stęp ujący plik: 


world 

Everywhere in the world 

local 

Only local to this site 

nl 

Netherlands only 

mugnet 

MUGNET only 

fr 

France only 

de 

Germany only 

brewery 

Virtual Brewery only 


log 

Ten plik za wiera za pis wszyst kich działań C News. Jest on re gul arnie czysz czony 
przez newsdaily. Ko pie sta rych pli ków log są prze chow y wa ne w log.o, log.oo itp. 
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errlog 

Jest to za pis wszyst kich komuni katów błędów wy stęp ujących w C News. Nie za- 
wier ają one za pisów na te mat ar tykułów prze nieś iony ch do śmieci ze wzglę du 
na błędną gru pę lub inne błędy. Ten plik, o ile nie jest pu sty, jest au tom aty cznie 
wysyłany pocztą e-ma ił do zarządcy grup (do myś lnie do użytk owni ka Usenet) 
przez pro gramnewsdaily. 

errlog jest czyszczony przez newsdaily. errlog.o przechowuje ko pie sta rych pli¬ 
ków i tym po dob ne. 

batchlog 

Ten plik za wiera za pis wszyst kich uruc homi eńsendbatches i naj częś ciej jest mało 
cie kawy. Zwy kle jest też obsługiw any przeznewsda ily. 

watchtime 

Jest to pu sty plik two rzony przy ka żdym uruc homi eniu newsdaily. 

Wiadomości kontrolne 

Pro tokół grup usenetowych ro zu mie spe cjalną ka te go rię ar ty kuło w, które wy wołują 
pewne odpowiedzi lub działania w systemie grup dyskusyjnych. Są to tak zwa¬ 
ne wia domo ści kontrolne. Ich cechą cha rak te ry styczną jest obec ność po la Con troi: 
w nagłów ku ar ty kułu. Za wie ra ono na zwę działania do wy ko na nia. Ist nie je kil ka 
typów działań, a wszystkie są obsługiwane przez skrypty powłoki umieszczone 
w ka ta lo gu /usr/lib/news/ctl. 

Wię k szość z tych wia do mo ści wy ko nu je swoje za da nia au to ma tycz nie w mo men- 
cie prze twa rza nia ar ty kułu przez C News i bez po wia da mia nia zarządcy grup. Do¬ 
my śl nie tylko wia do mość checkgroups bę dzie obsługi wa na przez zarządcę, ale 
możesz to zmie nić edy tując skryp ty. 

cancel 

Naj bar dziej znaną wia do mo ścią jestcan cel, dzię ki któr ej użyt kow nik może anu lo- 
wać wcze śniej wysłany ar ty kuł. Usu wa ona sku tęcz nie ar ty kuł z ka ta logów bu fo ra, 
je żeli tam ist nie je. Wia do mość cancel jest przekazy wa na do wszystkich ośrodków, 
które ode brały wia do mość w da nej gru pie, bez wzglę du na to, czy ar ty kuł był już 
czy ta ny. Istnie je ry zy ko, że wia do mość ta przyj dzie wcze śniej, niż ar ty kuł do anu lo- 
wania. Nie kt óre sys te my grup po zwa łają użytków ni kom anu lo wać wia do mo ści in¬ 
nych osób. 

newgroupirmgroup 

Dwie wia do mości służące do two rżenia i usu wania grup to newgroup i rmgroup. 
Grupy w „zwykłych" hierarchiach mogą być tworzone jedynie po uzgodnieniu 
i głosowaniu przeprowadzonym wśród czytelników Usenetu. Reguły dotyczące 
hie rar chiia It po zwa łają na coś zbliż one go do anar chii. Wię cej in for ma cji na ten te mat 
znajdziesz w artykułach grupy news.announce.newusers i news.announce.newgroups. 
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Nigdyniewysyłajsamodzielniewiadomościnewgroup i rmgroup, je żeli nie jesteś 
pew ny, czy masz do te go pra wo. 

checkgroups 

Wiadomościche c kgr oup s są wy syłane przez ad mi ni stra to ra grup w ce lu syn chro¬ 
ni zacjiplików actiue we wszyst kich ośrod kach w sie ci Usenet. Na przykład ko mer- 
cyj ny do staw ca In ter ne tu może wysłać taką wia do mość do ośrod ków swo ich klien¬ 
tów. Raz w miesiącu przez moderatora grupy comp.announce.newgroups jest wy¬ 
syłana „oficjał na" wia do mość checkgroups dla głów nych hie rar chii. Jed nak jest 
ona wy syłana ja ko zwykły ar ty kuł, a nie wia do mość kon tro 1 na. Aby wy ko nać ope ra- 
q'ę checkgroups, zapisz artykuł do pliku, powiedzmy /tmp/check, usuń cały 
początek sa mej wia do mo ści kon tro 1 nej i prze każ ją do skryp tu checkgroups za po¬ 
mocą na stę pujące go po le ce nia: 

# su news -c "/usr/lib/news/ctl/checkgroups” < /tmp/check 

Twój plik newsgroups zostanieuaktualnionynapodstawieno we j listy grup.Dodane 
zo staną gru py wy mie nio ne w pli kulocalgroups. Sta ry plik newsgroups zo sta nie prze 
mianowany na newsgroups. bac. Zauważ, że wysłanie wiadomości lokal nie rząd ko 
działa, po nie waż inews , po le ce nie przyj mujące i wy syłające ar ty kuły od użyt kow ni- 
ków, od ma wia przy ję cia tak du że go ar ty kułu. 

Gdy by C News stwier dził różnice po mię dzy checkgroupsapli kiem actłue, wy ge ne 
ro wałby li stę po le ceń, kt óre uak tu al niłyby twój ośro dek, i wysłałby ją do ad mi ni stra¬ 
to ra grup dys ku syj nych. 

Wy nik zwy kle wygląda ja koś tak: 

From news Sun Jan 30 16:18:11 1994 
Datę: Sun, 30 Jan 94 16:18 MET 
From: news (News Subsystem) 

To: Usenet 

Subject: Problems with your active file 

The following newsgroups are not valid and should be removed. 
alt.ascii-art 
bionet.molbio.gene-org 
comp.Windows.x.intriscis 
de.answers 

You can do this by executing the commands: 

/usr/lib/news/maint/delgroup alt.ascii.art 
/usr/lib/news/maint/delgroup bionet.molbio.gene-org 
/usr/lib/news/maint/delgroup comp.Windows.x.intrisics 
/usr/lib/news/maint/delgroup de.answers 
The following newsgroups were missing. 
comp.binaries.cbm 
comp.databases.rdb 
comp.os.geos 
comp.os.gnx 

comp.unix.user-friendly 
misc.legał.moderated 
news.newsites 
soc.culture.scientists 
talk.politics.crypto 
talk.politics.tibet 
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Gdy od bie rzesz te go ty pu wia do mość od s wo je go sys te mu grup, nie ufaj jej bez kry- 
tycz nie. W za le żno ści od te go, kto wysłał ci wia do mośćche c kgr oup s, może bra ko- 
wać kil ku grup lub na wet całych hie rar chii. Po wi nie neś uwa żać przy usu wa niu ja¬ 
kich kol wiek grup. Je żelidosta niesz informację, że bra ku je jakichś grup, które po wi¬ 
nie neś mieć u sie bie, mu sisz do dać je za po mocą skryp tu addgroup. Za cho waj tę li stę 
bra kujących grup w pli ku i prze każ do po niż sze go skryp tu: 

#!/bin/sh 
# 

WHOIAM='whoami' 

if [ "$WHOIAM" != "news" ] 

then 

echo "You must run $0 as user 'news'" >&2 
exit 1 
fi 
# 

cd /usr/lib/news 
while read group; do 

if grep -si " A $group[[:space:]].*moderated" newsgroup; then 
mod=m 
else 

mod=y 

fi 

/usr/lib/news/maint/addgroup $group $mod 
done 

send sys, ver sion i sen du una me 

Istnieją trzy wiadomości, których można użyć do poznania topologii sieci. Są to: 
sendsys, version i senduuname. Po wodują one, że C News zwra ca do nadawcy 
od po wied nio: pliksys, ciąg znaków za wie rający wer sję opro gra mo wa nia oraz wy¬ 
nik po le ce nia uuname. C News bar dzo la ko nicz nie pod cho dzi do wia do mo ści ve r - 
sion, gdyż zwra ca tyl ko C. 

Niepowinieneś uży wać tych wia do mo ści, jeśli nie masz pew no ści, że nie wyjdą po za 
twoją (re gio nalną) sieć. Od po wie dzi na wia do mośćs ends y s mogą łatwo uszko dzić 
sieć UUCP*. 

C News w środowiskuNFS 

Pro stym spo so bem na roz po wszech nia nie wia do mo ści w sie ci lo kal nej jest trzy ma¬ 
nie wszystkich grup na centralnym hoście i eksportowanie istotnych katalogów 
przez NFS, tak by przeglądar ki mogły ska no wać ar ty kuły bez po śred nio. Nad mia ro- 
wość wy ma ga na do od bie ra nia i po działu ar ty kulów na wątki jest znacz nie niż sza 
niż przy pro to ko le NNTP. Z dru giej stro ny NNTP wy gry wa w sie ciach he te ro ge 
nicznych, gdzie hosty znacznie różnią się sprzętowo lub gdzie użytkownicy nie 
mają iden tycz nych kont na ma szy nie ser we ra. 

Gdy uży wasz NFS-a, ar ty kuły wysłane do ho sta lo kal ne go muszą być prze ka za ne 
do kom pu te ra cen trał ne go. In a czej pli ki są na ra żonę na nie spój ność, po nie waż zaw- 


Nie pró bo wałbym tego w In ter ne de. 
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sze ist nie je ry zy ko po wsta nia wy ści gów. Możesz ta kże za bez pie czyć ob szar bu fo ra 
grup dys ku syj nych, eks por tując go tylko do od czy tu, co ta kże wy ma ga prze ka zy wa 
nia do kom pu te ra central ne go. 

CNews obsługu je taką kon fi gu ra cję z kom pu te rem cen trał nym w spo sób prze zro czy¬ 
sty dla użytkownika. Gdy wysyłasz artykuł, twoja przeglądarka grup zwy kle wy¬ 
wołuje inews, by wrzu cić ar ty kuł do sys te mu grup. To po le ce nie spraw dza ar ty kuł, 
uzu pełnia nagłów ek i spraw dza plik sewer w ka ta lo gu /etc/news. Je żeli plik ist nie je 
i za wie ra na zwę ho sta inną niż na zwa ho sta lo kal ne go, inews jest wy woły wa ny na 
tym ho ście przez rsłz. Po nie ważskryptóiezcs uży wa kil ku pole ceń i obsługu je pliki C 
News, mu sisz mieć lo kal nie za in sta lo wa ne C News lub za mon to wa ne opro gra mo¬ 
wa nie z serwera. 

Aby wy wołanie rsh działało po praw nie, ka żdy użyt kow nik, który wy syła wia do mo¬ 
ści, mu si mieć ta kie sa mo kon to na ser we rze, to zna czy ta kie, na które może się za lo go- 
wać bez hasła. 

Spraw dź, czy na zwa ho sta wpi sa na w pli ku sewer jest iden tycz na z wy ni kiem po le 
ce nia hostname na ser we rze. Je śli nie - C News bę dzie w nie sko ńczo ność pró bo wał 
do star czyć ar ty kuł. NFS oma wia my szcze gółowo w roz dzia le 14 ,Sie cio wy sys tern pli 
ków. 

Narzędzia i zadania administracyjne 

Po mi mo złożono ści C News, ży cie ad mi ni stra to ra grup może być całkiem przy jem- 
ne. C News po sia dabo wiem sze reg na rzę dzi ad mi ni stra cyj nych. Nie któ re z nich są 
po my śla ne do re gu lar ne gouru cha mia nia z crona , podobnie jak newsdaily. Skry p ty te 
wy rę czają cię w wie lu co dzień nych za da niach ad mi ni stra cyj nych. 

Je żeli nie po wie dzia no in a czej, te po le ce nia ad mi ni stra cyj ne znaj dują się w ka ta lo gu 

/ usr/lib/news/maint*: 

newsdaily 

Na zwa mówi sama za sie bie: uruc hom raz dzień nie. Jest to wa żny skrypt, który 
pomaga ci utrzymać małe rozmiary plików log, pozostawiając kopię każdego 
z nich z trzech ostatnich przebiegów. Próbuje ta kże wy kryć nie prawidłowo ści 
takie, jak sta re wsa dy w ka tal oga ch przy chodzących i wy chodzących, wysyłanie 
do nie znan ych lub mo der owa nych grup itp. Zwra cane ko mun ika ty błędów są 
wysyłane do ad min ist ratora grup. 

newswatch 

Ten skrypt po wi nien być uru cha mia ny re gu lar nie, co go dzi nę, w celu wy szu ki¬ 
wa nia nie pra widłowo ści w sys te mie grup. Służy on do wy kry wa nia pr obi em ów, 
kt óre mają na tych mia sto wy wply w na działanie two je go sys te mu grup. Spraw¬ 
dza sta re pli ki blo kujące, któ re nie zo stały usu nię te, nie obsłużone wsa dy i miej¬ 
sce na dys ku twar dym. Je śli newswatch wy kry je pro blem, wysyła in for ma cję do 
administratora grup. 


* Zauważ, że musisz być użytkownikiem news, zanim wywołasz te polecenia. Uruchomienie ich 
zpowłokisu perużytkownikamożespo wodo wać,żekry tycz nephkistanąsięniedostępne dla C News. 
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addgroup 

Ten skrypt do daje lo kaln ie gru pę do two jego ośrodka. Po prawne wywołanie to: 

addgroup nazwagrupy y|n| m=rzeczywistagrupa 

Drugi argument odpowiada znacznikowi w pliku active, czyli każdy może 
wysyłać do gru py (y), nikt nie może wysyłać (n) i jest to gru pa modę ro wana (m) 
lub że jest to alias do in nej gru py (=rzeczywistagrupa). Możesz ta kże uży wać 
addgroup , gdy pierw szy ar ty kuł do nowo utwo rzo nej gru py przyj dzie wcze śniej 
niż wia do mość kon tro 1 na newgro up, któ ra ma za za da nie tę gru pę utwo rzyć. 

delgroup 

Ten skrypt po zwala na usuń ięcie lo kalne gru py. Wywołanie jest na stęp ujące: 

delgroup nazwagrupy 

Nieustannie musisz usuwać artykuły, które po zostają w kata logu bu torowym 
gru py. Ewen tu al nie możesz po zo sta wić je na tu rai nej ko lei rze czy (to zna czy do 
wy ga śnię cia cza su ich przechowywania). 

addmissing 

Ten skrypt do daje bra kujące ar tykuły do pli ku history. Uruc hom go, gdy ist nieją 
ar tykuły, kt óre wy dają się zalegać od za w sze. 

newsboot 

Ten skrypt powinien być uruchamiany w czasie inicjacji systemu. Usuwa 
wszelkie pliki blokujące pozostałe przy unicestwianiu procesów i zamyka oraz 
uruchamia wszel kie po zo stałe wsa dy z połączeń NNTP, któ re zo stały prze rwa ne 
przez za mknię cie sys te mu. 

newsrunning 

Ten skrypt znaj du je się w ka ta lo gu /usr/lib/news/input i może być uży ty do za blo- 
ko wa nia roz pa ko wy wa nia wsa dów przy chodzących wia do mo ści, na przy kład 
wcza sie go dżin pra cy. Możesz wyłączyć roz pa ko wy wa nie wsa dów wy wołując: 
/usr/lib/news/input/newsrunning off 
Włącza się je, uży wając on za miast off. 




Pro to kół prze syłania wia do mo ści w sie ci Usenet, NNTP (Ne tworkNews Transfer Pro- 
tocol), re pre zen tu je zu pełnie od mień ne po de jś cie do wy mia ny grup dys ku syj nych, 
niż C News i in ne ser we ry grup bez wbu do wa nej obsługi NNTP. Do prze syłania ar¬ 
tykułów pomiędzy maszynami nie korzysta z technologii wsadowej charaktery 
stycz nej dla UUCP, ale po zwa la wy mie niać ar ty kuły przez in te rak ty w ne połączę nie 
sie cio we. NNTP nie jest pa kie tern opro gra mo wa nia, ale stan dar dem in ter ne to wym 
opisanym w RFC-977. Korzysta z połączeń strumieniowych, zwykle działających 
w opar ciu o TCP po mię dzy klien tern w sie ci a ser we rem, któ ry prze cho wu je gru py 
naswoimdyskulokalnym.Połączeniestrumieniowepozwalaklientowiiserwerowi 
na interaktywne negocjowanie przesyłania artykułów prawie bez opóźnień, 
za czym idzie mały sto pień ich du blo wa nia. Je śli u względ ni my jesz cze wy soką prze 
pusto wośćInternetu,otrzy mujemy rozwiązanie znacznie przewyższające możliwo 
ści dotychczasowego UUCP. Choć jeszcze kilka lat temu nie było niczym nie¬ 
zwykłym, że ar ty kuł szedł dwa ty go dnie lub dłużej, za nim do tarł na dru gi ko nieć 
sie ci Usenet, to te raz trwa to zwy kle kró cej niż dwa dni. W sa mym In ter ne cie są to 
nawetminuty. 

Róż ne po le ce nia po zwa łają klien tom od bie rac, wy syłać i umiesz czać w gru pie ar ty- 
kuły. Róż ni ca po mię dzy wy syłaniem a umiesz cza niem w gru pie po le ga na tym, że 
umiesz cza nie do ty czy ar ty kuło w, któ re mogą mieć nie pełne in for ma cje w nagłów¬ 
ku. Ogól nie ozna cza to, że użyt kow nik po pro stu na pi sał ar ty kul*. Ar ty kuły mogą 
być pobierane zarówno przez klientów przesyłających wiadomości, jak i przez 
przeglądar ki grup dys ku syj nych. Dla te go NNTP jest ide al nym na rzędziem, któ re 
da je do stęp do grup wie lu klien tom w sie ci lo kal nej, bez gim na sty ki ce chującej ko¬ 
rzy sta nie z NFS-a. 

NNTP za pew nia ta kże czyn ny i bier ny spo sób prze syłania grup, po tocz nie zwa ny 
„wciskaniem" i „ściąganiem". Wciskanie w zasadzie przypomina protokół ihave/ 
send me uży wa ny przez C News (opi sa ny w roz dzia le 21 ,C News). Klient oferu je ar ty- 


Przy umiesz cza niu ar ty kułu przez NNTP, ser wer zaw sze do da je przy najm niej jed no pole nagłówka 
NNT P-Po s ting-Ho s t :. Pole to za wie ra na zwę ho sta klien ta. 
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kuł ser we ro wipo przez po le ce nie IHAVE msgid, a ser wer zwra ca w od po wie dzi kod, 
któ ry mó wi, czy ma już ten ar ty kuł lub czy też go chce. Je żeli ser wer chce ar ty kuł, 
klient wy syła go, ko ńcząc tekst wier szem za wie rającym je dy nie krop kę. 

Wci skan ie wia dom ości ma jedną wa dę - ob ciąża ser wer - po niew aż sys tern mu si 
prze szuk iwaćba zę hi stor ii dla ka żd ego po jed ynczego ar tykułu. 

Dru ga tech ni ka, ściąga nie wia do mo ści, po le ga na tym, że klient pro si o li stę wszyst¬ 
kich (do stęp nych) ar ty kułów z grup, któ re do tarły w ja ki mś dniu. To za py ta nie jest 
re ali zo wa ne przez po le ce nie NEWNEWS. Ze zwró co nej li sty ID wia do mo ści klient 
wy bie ra te nu me ry, któ rych mu jesz cze bra ku je, wy dając dla ka ż de go z nich po le ce 
nie ARTICLE. 

Ściąga nie grup wy ma ga od ser we ra ścisłego kon tro lo wa nia, któ re gru py i dys trybu cje 
pozwą la ściągać klien to wi. Na przykład mu si za gwa ran to wać, że żad ne taj ne ma te 
riały z grup lo kal nych dla da ne go ośrod ka nie zo staną wysłane do nie au to ry zo wa- 
nych klientów. 

Istnieje też kilka poleceń wygodnych dla przeglądarek grup. Za ich pomocą 
może od bie rac od dziel nie nagłówek i tre ść ar ty kułu lub na wet po je dyn cze wier sze 
nagłówka z zadanego zakresu artykułów. Pozwala to trzymać wszystkie grupy 
na ho ście cen trał nym i mieć użyt kow ni ków w sie ci (przy pusz czai nie lo kal nej), któ¬ 
rzy za po mocą klien ta NNTP czy tają je i wy syłają. Jest to roz wiąza nie al ter na ty w ne 
do eks por to wa nia ka ta lo gów z gru pa mi przez NFS, co zo stało opi sa ne w roz dzia¬ 
le 21. 

Man ka men tern NNTP jest to, że znającej się na rze czy oso bie pro to kół ten urno żli wia 
wsta wie nie w stru mień grup ar ty kułu z fałszywą in for ma cją o nadaw cy. Na zy wa się 
to fałszowaniem (ang. news faking) lub podszywaniem (ang. spoofing)*. Rozszerzenie 
NNTP po z wa la na u wie rzy tel nia nie użyt kow ni ków przy pe w nych po le ce niach, co 
ja koś zabez pie cza przed nad uży wa niem two je go ser we ra grup dys ku syj nych. 

Ist nie je sze reg pa kie tów NNTP. Jed nym z bar dziej po pu lar nych jest de mon NNTP, 
znany także jako implementacjawzorcowa (ang. referenceimplementation). Został na pi¬ 
sa ny przez Sta na Bar be ra i Phi la Lap sleya ja ko ilu stra cja RFC-977. Po dob nie jak wię- 
k szość do bre go opro gra mo wa nia, tak i ten pa kiet możesz obec nie zna le źć w swo jej 
dys trybu cjiLinuk sa. Możesz też po brać je go kod źródłowy i skom pi lo wać sa mo- 
dziel nie pod wa run kiem, że na ty le do brze znasz swoją dys try bu cję Linuk sa, by po¬ 
praw nie skon fi gu ro wać wszel kie ście żki do pli ków. 

Pa kiet nntpd za wiera ser wer, dwa klien ty ściągające i wci skające wia dom ości oraz 
za mienn ik dla inews. Działają one w śród owi sku B News, ale po nie wielk ich zmia¬ 
nach będą ta kże działać z C News. Jed nak, je żeli pla nuj esz używ ać NNTP nie tyl ko 
do udos tępni ania grup dys kus yjny ch na two im ser wer ze, im plem enta cja wzór cowa 
nie jest do brym wy bor em. Dla tego omó wimy tyl ko de mona NNTP za wart ego w pa- 
kiec ie nntpd, a pro gramy klienc kie po zos tawi my w spo koju. 


Ten sam pro blem wy stę pu je w pro to ko le SMTP, choć obec nie wię k szość age n tów trans por towych 
pocz ty po sia da me cha nizmza pobiegający pod szy wa niu. 
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Gdybyśchciałuruchomićdużyośrodekgrupdyskusyjnych,powinieneśzaintereso 
wać się pa kie tem/fz terNetNews , ina czej INN, na pi sa nym przez Ri cha Sal za. Za pew- 
nia on trans port grup za rów no przez NNTP, jak i UUCP, co jest zde cy do wa nie lep 
sze niż nntpd. INN oma wia my szczegółowo w rozdziale 23, In ter net News. 

Protokół NNTP 

Wspo mnie liś my o dwóch po le ce niach, kt óre de cy dują o tym, jak ar ty kuły są wciska¬ 
ne lub ściąga nepomiędzyser we ra mi. Te raz przyj rzy my się im w kon te kś cie rze czy- 
wi stej se sji NNTP, a prze ko nasz się, jak pro sty jest ten protokół. Uży je my pro ste go 
klienta telnet, za pomocą którego podłączymy się do serwera opartego na INN, 
działającego w browarze wirtualnym pod adresem news.vbrew.com. Żeby nie 
wydłużać nie po trzeb nie przykładu, ser wer działa w mi ni mai nej kon fi gu ra cji. Pełną 
konfigurację te go serwera poznamy w roz dzia le 23. W na szych te stach będzie my 
bar dzo ostro żni i wy ge ne ru je my ar ty kuły do gru py junk, że by nie zakłóć ać in nym 
spokoju. 

Podłącza nie się do ser we ra grup 

Podłącza nie się do ser we ra po le ga na otwar ciu połączę nia TCP do je go por tu NNTP. 
Gdy je steś podłączo ny, po ja wi się ba ner po wi tal ny. Jed nym z pierw szych po le ceń, 
ja kie możesz wypróbować jest help. Od po wie dź na nie prze wa żnie za le ży od te go, 
czy ser wer wi dzi cię ja ko zdał ny ser wer NNTP, czy ja ko przeglądar kę grup. Udo- 
stęp nia wte dy róż ne ze sta wy po le ceń. Sw ój tryb działania możesz zmie nić, wy dając 
poleceni emode. Przyj rzy my się mu za chwi lę. 

$ telnet news.vbrew.com nntp 

Trying 172.16.1.1... 

Connected to localhost. 

Escape character is ,A ]'. 

200 news.vbrew.com InterNetNews server INN 1.7.2 08-Dec-1997 ready 

help 

100 Legał commands 
authinfo 
help 
ihave 
check 
takethis 
list 
modę 
xmode 
quit 
head 
stat 
xbatch 
xpath 
xreplic 

For morę information, contact "Usenet" at this machinę. 


Od po wie dzi na po le ce nia NNTP zaw sze ko ńczą się kropką (.) w od dziel nym wier¬ 
szu. Licz by, które wi dzisz w wy ni ku, to ko dy odpowiedzinży wa ne przez ser wer do 
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wskazania, czy polecenie zostało wykonane poprawnie, czy błędnie. Kody odpo¬ 
wiedzi są opi sa ne w RFC-977. Naj wa żniej sze z nich omówimy da lej. 

Wci ska nie ar ty kułu doserwe ra 

Przy omawianiu wciskania artykułów do serwera, wspomnieliśmy o poleceniu 
IHAVE. Przyj rżyj my się te raz, jak w rze czy wi sto ści działa to po le ce nie: 

ihave <123456@gw.vk2ktj.ampr.org> 

335 

From: terry@gw.vk2ktj.ampr.org 

Subject: test message sent with ihave 

Newsgroups: junk 

Distribution: world 

Path: gw.vk2ktj.ampr.org 

Datę: 26 April 1999 

Message-ID: <123456@gw.vk2ktj.ampr.org> 

Body: 

This is a test message sent using the NNTP IHAVE command. 


235 

We wszyst kich po le ce niach NNTP nie istot na jest pi sow nia, a więc możesz uży wać 
za rów no małych, jak i du żych li ter. Po le ce nieIHAV Eprzyj mu je je den obo wiązko wy 
ar gu ment- ID wia do mo ści, któ ra jest wci ska na. Ka ż de mu ar ty kulowi w cza sie je go 
two rze nia jest przy pi sy wa ny uni ka to wy nu mer ID. Po le ce nie IHAVE sta no wi spo¬ 
sób na po wie dze nie przez ser wer NNTP, któ re ar ty kuły po sia da i któ re chce wrzu cić 
do in ne go ser we ra. Ser wer wysyłający wy da je po le ce nie IHAVE dla ka ż de go ar ty- 
kułu, któ ry chce wrzu cić. Je żeli kod od po wie dzi na po le ce nie wy ge ne ro wa ny przez 
odbierający serwer NNTP jest z zakresu „3xx", wysyłający serwer NNTP prześle 
pełny artykuł, włącznie z jego nagłówkiem, zakończy go kropką w oddzielnym 
wierszu. Jeżeli kod odpowiedzi należy do zakresu „4xx", serwer odbierający nie 
przyj mie te go ar ty kułu, praw do po dob nie dla te go, że go ma lub z in ne go po wo du, 
na przykład mogło mu za braknąć miej sca na dys ku. 

Je śli ar ty kuł zo stał przesłany, ser wer od bie rający zwra ca in ny kod od po wie dzi, mó¬ 
wiący, czy przesłanie ar ty kułu za ko ńczyło się po praw nie. 

Prze jś cie do try bu czy ta nia NNRP 

Przeglądarkigrup uży waj ą do ko mu ni ka cji z ser we remwłasnegozestawupoleceń. 
Aby je uak ty w nić, ser wer mu si być w try bie czytania. Wię k szość ser we rów grup dys¬ 
ku syj nych do my śl nie jest w trybie czy ta nia, chy ba że ad res IP podłączające go się ho- 
sta znaj du je się na liś cie part ne rów do prze ka zy wa nia grup. W ka żdym ra zie NNTP 
po sia da po le ce nie jaw nie przełączające ser wer do try bu czy ta nia: 
modę reader 

200 news.vbrew.com InterNetNews NNRP server INN 1.7.2 08-Dec-1997 ready/(posting ok) . 

help 

100 Legał commands 

authinfo user Namelpass Password|generic <prog> <args> 
article [MessagelD|Number] 
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body [MessagelD|Number] 
datę 

group newsgroup 

head [MessagelD|Number] 

help 

ihave 

last 

list [active|active.times|newsgroups|distributions|distrib.pats|/ 
overview.fmt|subscriptions] 
listgroup newsgroup 
modę reader 

newgroups yymmdd hhmmss ["GMT"] [<distributions>] 

newnews newsgroups yymmddhhmmss ["GMT"] [<distributions>] 

next 

post 

slave 

stat [MessagelD|Number] 
xgtitle [group_pattern] 
xhdr header [rangę|MessagelD] 
xover [rangę] 

xpat header rangę|MessagelD pat [morepat...] 
xpath MessagelD 

Report problems to <usenet@vlager.vbrew.com> 

Tryb czy ta nia udo stęp nia sze reg po le ceń. Wie le z nich ma ułatwić ży cie przeglądar¬ 
kom grup dys ku syj nych. Wspo mnie liś my wcze śniej, że ist nieją po le ce nia mó wiące 
ser we ro wi, by od dziel nie wy syłał nagłówek i tre ść ar ty kulu. Ist nieją rów nież po le ce 
nia pokazujące listę dostępnych grup i artykułów oraz takie, które pozwalają 
umiesz czać ar ty kuły, czy li wy syłać je w al ter na ty w ny spo sób do ser we ra. 

Li sto wa nie do stęp nych g ru p 

Pole ce nielist po ka zu je sze reg in for ma cji ró żne go ty pu. Przede wszyst kim jed nak li¬ 
stę grup obsługi wa nych przez ser wer: 

list newsgroups 

215 Descriptions in form "group description". 
control News server internal group 

junk News server internal group 

local.generał General local stuff 
local.test Local test group 


Li sto wanieaktyw nych grup 

Po lece nielistac twe po ka żuje wszystkie obsługi wa ne gru py i po da je in for ma cje na ich 
te mat. Dwie licz by w ka żdym wier szu wy ni ku to górny i doi ny znacz nik, czy li naj wyż¬ 
szy i naj niż szy nu mer ar ty kulu w ka ż dej gru pie. Na ich pod sta wie przeglądar ka może 
oszacować liczbę ar ty kułów w gru pie. Nie co wię cej o tych nu me rach po wie my za 
chwi lę. Ostat nie po le za wie ra znacz ni ki, które kon tro lują, czy wy syłanie do gru py jest 
do z wo lo ne, czy gru pa jest mo de ro wa na i czy wy syłane ar ty kuły są rze czy wiś cie za pi¬ 
sy wa ne, czy je dy nie prze ka zy wa ne. Znacz ni ki te są opi sa ne szc ze gółowo w roz dzia le 
23. Oto przykład: 
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list active 

215 Newsgroups in form "group high Iow flags". 
control 0000000000 0000000001 y 
junk 0000000003 0000000001 y 
alt.test 0000000000 0000000001 y 


Wysyłanieartykułu 

Wspo mnie liś my, że ist nie je róż ni ca po mię dzy wy syłaniem ar ty kulu a je go wci ska- 
niem. Przy wci ska niu po ci chu zakłada się, że ar ty kuł już ist nie je, to zna czy, że ma 
uni ka to wy identyfikatorwiadomości, któ ry zo stał mu uni ka to wo przypisany przez 
ser wer, do któ re go zo stał pier wot nie wysłany i że ma pełny ze staw nagłów ków. Gdy 
wy syłasz ar ty kuł, two rzysz go po raz pierw szy i po da jesz tył ko istot ne dla cie bie 
nagłówki, jak temat (Subject) i grupy dyskusyjne (Newsgroups), do których wy¬ 
syłasz artykuł. Serwer grup dyskusyjnych, do którego wysyłasz artykuł, doda 
wszystkie pozostałe nagłówki i stworzy identyfikator wiadomości, który będzie 
uży wa nyprzyumieszczaniuartykułu(wciska niu) na in nych ser we rach. 

Wszyst ko to oznac za, że wy syłanie ar tykułu jest prost sze, niż je go wciskanie. Przy¬ 
kład wy syłania może wyglądać tak: 

post 

340 Ok 

From: terry@richard.geek.org.au 
Subject: test message number 1 
Newsgroups: junk 
Body: 

This is a test message, please feel free to ignore it. 


240 Article posted 

Wy gen ero wal iśmy jesz cze dwa ta kie ar ty kuły, by na szym przykład om na dać ce chy 
prawdopodobieństwa. 

Listowanienowych artykułów 

Gdy przeglądar ka po raz pierw szy łączy się z no wym ser we rem i użyt kow nik wy- 
bie ra gru py, któ re chce przeglądać, przeglądar ka bę dzie chciała po brać li stę no wych 
ar ty kułów- tych, któ re zo stały wysłane lub ode bra ne od ostatnie go połączę nia użyt¬ 
kownika. Do tego celu jest używane polecenie newnews. Musisz podać trzy obo- 
wiązko we ar gu men ty: na zwę gru py lub grup, da tę początkową i go dzi nę, od któ rej 
ma być po bie ra na li sta. Da ta i czas są po da wa ne w po sta ci liczb sze ścio cy fro wych, 
gdzie naj bar dziej znacząca in for ma cja mu si być poda na ja ko pierw sza, od po wied- 
nio: rrmmdd i ggmmss. 

newnews junk 990101 000000 

230 New News follows 
<7g2o5r$aa$6@news.vbrew.com> 

<7g5bhm$8f$2@news.vbrew.com> 

<7g5bk5$8f$3@news.vbrew.com> 
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Wy b ór g ru py, na któ rej mają być wy ko ny wa ne ope ra cje 

Gdy użyt kow nik wy bie rze gru pę do przegląda nia, przeglądar ka może po in for mo- 
wać ser wer, że gru pa zo stała wy bra na. Uprasz cza to współdziałanie przeglądar ki 

1 ser we ra, po nie waż nie trze ba już wte dy wy syłać na zwy gru py przy ka żdym po le 
ce niu. Po le ce nie group po pro stu przyj mu je ja ko ar gu ment na zwę wy bra nej gru py. 
Wie le dal szych po le ceń uży wa wy bra nej na zwy ja ko do my śl nej, do pó ki gru pa nie 
zo sta nie poda na ja w nie. 

group junk 

211 3 1 3 junk 

Polecenie group zwraca wiadomość zawierającą odpowiednio: liczbę aktywnych 
wia do mo ści, doi ny znacz nik, gór ny znacz nik i na zwę gru py. Za pa mię taj, że choć 
w na szym przykładzie licz ba wia do mo ści i gór ny znacz nik mają tę samą war tość, to 
nie zaw sze tak jest. W ak ty w nym ser we rze grup ar ty kuły wy ga sają lub są usu wa ne, 
co zmniejsza liczbęaktywnych wia domości,alegórnyznacz nikpozostajenie tknięty. 

Li sto wa nie ar ty kułów w g ru pie 

Aby do stać się do ar ty kułów w gru pie, przeglądar ka mu si znać nu me ry ar ty kułów 
ak ty w nych. Po le ce nie list group da je li stę nu mero w ak ty w nych ar ty kuło w w bieżącej 
lub jaw nie poda nej gru pie: 

listgroup junk 

211 Article list follows 
1 

2 
3 

Pobieraniejedynienagłówkaartykułu 

Użyt kow nik mu si coś wie dzieć o ar ty ku le, aby mógł zde cy do wać, czy chce go prze 
czytać. Wspomnieliśmy wcześniej, że niektóre polecenia pozwalają przesyłać od¬ 
dziel nie nagłów ek i tre ść ar ty kułu. Po le ce nie head jest uży wa ne do prze syłania do 
przeglądar ki je dy nie nagłów ka za da ne go ar ty kułu. Je żeli użyt kow nik nie chce czy¬ 
tać te go ar ty kułu, nie mar nu je my cza su ani prze pu sto wo ści sie ci na nie po trzeb ne 
prze syłanie je go tre ści, któ ra może być du ża. 

Do ar ty kułów mo żna się od woływać przez ich nu mer (uzy ska ny po le ce niem list gro 
up ) lub przez iden ty fi ka tor wia do mo ści: 

head 2 

221 2 <7g5bhm$8f$2@news.vbrew.com> head 
Path: news.vbrew.com!not-for-mail 
From: terry@richard.geek.org.au 
Newsgroups: junk 
Subject: test message number 2 
Datę: 27 Apr 1999 21:51:50 GMT 
Organization: The Virtual brewery 
Lines: 2 

Message-ID: <7g5bhm$8f$2@news.vbrew.com> 

NNTP-Posting-Host: localhost 
X-Server-Date: 27 Apr 1999 21:51:50 GMT 
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Body: 

Xref: news.vbrew.com junk:2 


Pobieraniejedynietreściartykułu 

Je żeli jed nak uży t kow nik zde cy du je się, że chce prze czy tac ar ty kuł, przeglądar ka 
po trze bu je spo so bu na przesłanie sa mej je go tre ści. Do te go ce lu jest uży wa ne po le 
ce nie body. Działa w ten sam sposób co head, ale zwra ca na jest tre ść ar ty kułu: 
body 2 

222 2 <7g5bhm$8f$2@news.vbrew.com> body 

This is another test message, please feel free to ignore it too. 


Czy ta nie ar ty kułu z grupy 

Choć zwy kle bar dziej efek ty w ne jest od dziel ne prze syłanie nagłów ków i tre ści wy- 
bra nych ar ty kułów, cza sem zda rza się, że le piej jest przesłać pełny ar ty kuł. Jed nym 
z przykładów ta kie go za sto so wa nia jest chęć przesłania wszyst kich ar ty kułów bez 
żadnej wstępnej selekcji, czyli na przykład gdy używamy programu pamięci 
podręcz nej NNTP jak leafnode*. 

Oczywiście NNTP po zwala na ta kie prze syłanie i co nie jest za skoc żeni em, działa 
ono tak sa mo do brze jak po lec enie head. Po lec eni earticle ta kże przyj muje nu mer ar¬ 
tykułu lub ID wia dom ości, ale zwra ca cały ar ty kuł włącznie z nagłów kiem: 

article 1 

220 1 <7g2o5r$aa$6@news.vbrew.com> article 

Path: news.vbrew.com!not-for-mail 

From: terry@richard.geek.org.au 

Newsgroups: junk 

Subject: test message number 1 

Datę: 26 Apr 1999 22:08:59 GMT 

Organization: The Virtual brewery 

Lines: 2 

Message-ID: <7g2o5r$aa$6@news.vbrew.co> 

NNTP-Posting-Host: localhost 
X-Server-Date: 26 Apr 1999 22:08:59 GMT 
Body: 

Xref: news.vbrew.com junk:l 

This is a test message, please feel free to ignore it. 


Je żeli sp róbujesz po brać nie zna ny ar ty kuł, ser wer zwr óci ci go wraz z od po wied nim 
kodemodpowiedziibyćmożeczytel nym ko mu ni ka tern tek sto wy m: 

article 4 

423 Bad article number 

W tym pod roz dzia le omó wi liś my, jak działają naj wa żniej sze po le ce nia NNTP. Je żeli 
interesujeciętworzenieoprogramowaniawykorzystującegotenprotokół,powinieneś 


leafnodejestdo stęp ny z ano ni mo we go serwera FTP wpxx02.toxi.uni-wuerzburg.de w ka ta lo gu /pub. 
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sko rzy stać z od po wied nich do ku men tów RFC. Za wie rają one wie le szcze gółów, któ¬ 
rych nie możemy tu taj opi sać. 

Przyj rżyjmy się te raz jak NNTP działa w ser wer zenntpd. 

Instalowanie serwera NNTP 

Ser wer NNTP (nntpd) może być skom pi lo wa ny na dwa spo so by, w za le żno ści od 
ocze ki wa ne go ob ciąże nia sys te mu grup. Nie są do stęp ne wer sje skom pi lo wa ne, po- 
nie waż pew ne war to ści związa ne z ośrod kiem są na szty w no za szy te w ko dzie wy¬ 
kony walnym. Całakonfiguracjajestrealizowanaprzezmakrazdefiniowanewpliku 
common/conf.h. 

nntp d mo żna kon fi gu ro wać za rów no ja ko sa mo dziel ny ser wer uru cha mia ny w cza¬ 
sie ini cja cji sys te mu z pli ku rc, jak i ja ko de mo na zarządza ne go przez inetd. W tym 
dru gim przy pad ku mu sisz mieć w pli ku /etc/inetd.confna stę pujący wpis: 

nntp stream tcp nowait news /usr/etc/in.nntpd nntpd 

Skład nia inetd. conf jest szczegółowo opis ana w roz dziale 12, Ważne funkcje sieciowe. 
Jeżeli kon fig uru jesz nntpd jako samodzielny serwer, pamiętaj, aby zakomentować 
od pow iedni wiersz w pli ku inetd.conf. W obu przy padk ach pa mięt aj, by w/etc/se rvic- 
es po jawił się na stęp ujący wiersz: 

nntp 119/tcp readnews untp # NetWork News Transfer Protocol 

Aby tym czas owo za pis ać ja kieś ar ty kuły przy chodzące, nntpd po trzeb uje ka tal ogu 
.tmp w twoim katalogu bu for owym grup dyskusyjnych. Powinieneś go stworzyć, 
używającponiższych poleceń: 

# mkdir /var/spool/news/.tmp 

# chown news.news /var/spool/news/.tmp 

Ograniczanie dostępu NNTP 

Dostęp do zasobów NNTP jest zarządzany przez plik nntp_access znajdujący się 
wka ta lo gu /etc/news. Wier sze te go pli ku opi sują pra wa do stę pu udzie la ne ob cym 
ho storn. Ka żdy wiersz ma na stę pujący for mat: 

d-rodek read | xfer | both | no post | no ['.bezgrup] 

Je żeli klient łączy się z por tern NNTP, nntpd próbuje uzys kać je go pełną na zwę do¬ 
men ową na pod staw ie ad resu IP. Na zwa ho sta klien ta i je go ad res IP są spraw dzane 
z po lem oDrodek ka żd ego wpi su w ko lejn ości, w ja kiej pojaw iają się w pli ku. Do¬ 
paś owa nie może być pełne lub czę ściowe. Je żeli wpis pa suje dokład nie, jest re ali zo- 
wa ny. Je żeli do pas owa nie jest czę ściowe, za działa tyl ko wte dy, gdy nie ma in nych, 
lepszych(lubprzynajmniejrówniedobrych)dopasowań .oDrodek może być poda¬ 
ny w jed nej z na stęp ujących po stad: 

Nazwahosta 

Jest to pełna nazwa domenowa hosta. Je żeli jest w pełni zgod na z nazwą ka no- 
niczną ho sta klien ta, wpis jest sto so wa ny, a wszyst kie na stęp ne są zi gno ro wa ne. 
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AdresIP 

Jest to ad res IP za pis any w po stad licz bow ej. Je żeli ad res klien ta jest z nim zgod¬ 
ny, wpis jest sto sow any, a wszyst kie na stępne są zi gnor owa ne. 

Nazwadomeny 

Jest to na zwa do meny poda na w po staci * .domena. Je żeli jest zgod na z nazwą 
do meny klien ta, wpis jest sto sow any. 

Na zwa sieci 

Jest to na zwa sie ci zgod na z opis em w pli ku /etc/networks.Je żeli nu mer IP klien ta 
pa suje do nu meru sie ci związa nego z nazwą sie ci, wpis jest sto sow any. 
Wartośćdomyślna 

Do ciągu default pa suje do wolny klient. 

Wpi sy z bar dziej ogó Iną spe cy fi ka cją ośrod ka po win ny być poda ne wcze śniej, po¬ 
nieważ wszelkiedopasowaniazostanązastąpionedokładniejszymidopaso waniami 
wy stępującymi da lej. 

Dru gie i trze cie po le opi sują pra wa do stę pu udzie lo ne klien to wi. Dru gie po le opi su je 
szc ze golowe pra wa nie zbęd ne do po bra nia artykułuprzez ściągnię cie (r e a d) i je go 
wrzucę nie przez wciś nię cie (xf er). War tość both zawiera oba po przed nie, a no 
ozna cza całko wi ty za kaz do stę pu. Trze cie po le da je klien to wi pra wo do wy syłania 
ar ty kułów, czy li do ich umiesz cza nia bez pełnej in for ma cji w nagłów ku, kt óra jest 
uzu pełnia na przez opro gra mo wa nie do obsługi grup. Je żeli dru gie po le za wie ra n o, 
trze cie po le jest igno ro wa ne. 

Czwar te po le jest opcjo nalne i za wiera od dziel aną prze cink ami li stę grup, do któ¬ 
rych klient nie ma do stępu. 

Oto przykład owy plik nntp_access: 

# 

# domyDlnie kaDdy moDe przesyDaD artykuDy, ale nie kaDdy moDe 

# je czytaD lub pisaD nowe 

default xfer no 

# 

# public.vbrew.com oferuje dostDp przez modem. Pozwalamy na 

# czytanie i wysyDanie artykuDów do wszystkich grup poza 

# local.* 

public.vbrew.com read post !local 

# 

# wszystkie pozostaDe hosty w browarze mogD czytaD i wysyDaD 
*. vbrew.com read post 

AutoryzacjaNNTP 

De mon nntpd ofe ru je pro sty sche mat au to ry za cji. Je żeli ja kieś lek se my opi sujące do¬ 
stęp w pli ku nntp_access na pi szesz du ży mi li te ra mi, nntpd zażąda au to ry za cji klien¬ 
ta dla da nej ope ra cji. Na przykład, gdy byś za pi sal pra wa do stę pu jako XferXFER 
(za miast xf er), nntpdniepozwoliłbyklientowiprzesłaćartykułówbezau tory za cji. 

Procedura autoryzacji jest zaimplementowanaprzez nowe polecenie NNTP: Ali- 
THINFO. W tym po le ce niu klient prze syła na zwę użytk owni ka i hasło do ser wera 
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NNTP. Demon nntpd sprawdza je z plikiem / etc/passwd, aby dowiedzieć się, czy 
użytk ownik na leży do gru py nntp. 

AktualnaimplementacjaautoryzacjiNNTPmacharaktereksperymentalnyidlatego 
niezostałazaimplementowana jako prze no śna. Działa więc tyl ko z bazą czy s tych 
ha seł - hasła sha dow nie są roz po zna wa ne. Je żeli kom pi lu jesz źródła i masz za in sta¬ 
ło wa ny pa kiet PAM, bar dzo łatwo zmie nić pro ce du rę spraw dza nia ha seł. 

Współpraca nntpd z C News 

Gdy nntpd od bie rze ar ty kul, mu si go do star czyć do pod sys te mu grup. W za le żno ści 
od te go, czy zo stal on ode bra ny po le ce niem IHAVE czy POST, jest prze ka zy wa ny od- 
po wied nio do rnews lub inews. Za miast wy woływaćnzezcs, możesz także skonfiguro¬ 
wać (w cza sie kom pi la cji) wy woły wa nie prze twa rza nia wsa do we go przy chodzących 
artykułów i prze nosić uzyskane wsady do kata logu /mr/spool/news/in.coming, gdzie 
ocze kują na po bra nie przez relaynews przy na stęp nym prze bie gu ko lej ki. 

nntpd mu si mieć do stęp do pli ku history, by móc poprawnieobslugiwaćprotokół 
ihaue/sendme. W cza sie kom pi la cji mu sisz po dać dokładną ście żkę do te go pli ku. Je 
żeli uży wasz C News, spraw dź, czy C News i nntpd są zgod ne co do for ma tu pli ku 
hi sto rii. C News przy do stę pie uży wa funk cji mie szającej dbm. Jed nak ist nie je sze reg 
różnycłyniezbytkompatybilnychimplementacjibibliotekidfrm. Je żeli C News zo stał 
skonsolidowany z jakąś inną wersjąbibliotekidfrm, któ ra nie jest zgod na z wer sją 
znajdująca się w twojej standardowej bibliotece Hbc, musiszskonsolidowaćrozfpd 
z tą samą bi blio teką. 

Nie zgod no ści pomię dzy nn tpd i C News są cza sem po wo dem ge ne ro wa nia ko mu ni- 
ka tów o błęd ach w lo gu sys te mo wym, mó wiących o tym, że nntpd nie może go po¬ 
praw nie otwo rzyć. Może się też zda rzyć, że zo ba czysz po dwój ne ar ty kuły ode bra ne 
przez NNTP. Do brym te stem na błęd ne funk cjo no wa nie prze syłania grup jest po- 
bra nie ar ty kułu z ob sza ru bu f o ro we go, wy ko na nie teł net na port nntp i za of e ro wa- 
nie go nn tpd zgod nie z tym, co po ka za no w przykładzie po niż ej. Oczy wiś cie mu sisz 
za stąpić ms g@ i d ID wia do mo ści, którą chcesz prze ka zać do nntpd: 

$ telnet localhost nntp 

Trying 127.0.0.1. .. 

Connected to localhost 
Escape characeters is ' A ]'. 

201 vstout NNTP[auth] server version 1.5.lit (16 November 1991) ready at Sun 
Feb 6 16:02:32 1194 (no posting) 

IHAVE msg@id 
435 Got it. 

QUIT 

Takonwersacjapokazujepoprawnąreakcjęmzfpd.KomunikatGot It mówi, że ar¬ 
tykuł jużistnie je. Gdybyśzamiastniegodostałkomunikat335 Ok, ozna czałoby to, że 
prze szu ki wa nie pli ku hi sto rii z ja kie goś po wo du się nie po wiodło. Za ko ńcz kon wer 
sację wpisując [Ctrl+D]. W logu systemowym możesz sprawdzić, co poszło źle. 
nntpd zapisuje do logu wszelkie komunikaty, używając funkcji syslog: daemon. 
Niekompatybilna biblioteka dbm zwy kle sa ma zgłasza ko mu ni kat mó wiący, 
że wy wołanie dbminit się nie po wiodło. 




Demon Internet News (INN) jest prawdopodobnie najpopularniejszymz obecnie 
uży wa nych ser we rów grup dys ku syj nych. Jest bar dzo ela stycz ny i od po wied ni dla 
wszyst kich ośrod ków udo stęp niających gru py, może po za naj mniej szy mi*. INN do- 
sko na le się ska lu je i jest przy sto so wa ny do du żych ośrod ków grup dys ku syj nych. 
Ser wer INN składa się z sze regu ele men tów, z któ rych ka żdy ma własne pli ki kon- 
fig ura cyj ne. Omó wimy je wszyst kie ko lejno. Kon fig ura cja IN N-a może być nie co ab 
sorb ująca, ale w tym roz dziale opis zemy wszyst kie etapy i po damy wy stare zająco 
du żo in form acji, byś mógł zro zum ieć stro ny podręcz nika INN i je go do kum enta cję 
oraz stwo rzyć kon fig ura cje dla do woln ych za stos owań. 

Pewne tajniki wewnętrzne INN-a 

Rdzeniem INN-a jest demon innd. Jego zadaniem jest obsługa wszystkich przy¬ 
chodzących ar ty kuło w, za cho wy wa nie ich lo kał nie i dal sze prze ka zy wa nie, o ile jest 
ta ka po trze ba. Jest uru cha mia ny w cza sie ini cja cji sys te mu i działa ja ko pro ces w tle. 
Działanie w try bie de mo na jest wy daj niej sze, po nie waż pli ki sta nu są czy ta ne tyl ko 
raz, przy uruchomieniu. W zależności od wielkości obsługiwanych przez ciebie 
grup, pe w ne pli ki, ta kie ]akhistory (za wie rający li stę ostat nio prze two rzo nych ar ty- 
kułów), mogą zaj mo wać od kil ku do kil ku dzie się ciu megabajtów. 

Inną wa żną funk cją IN N-a jest to, że zaw sze działa tyl ko jed no je go wcie le nie. Ma 
to ta kże du ży wpływ na wy daj ność, po nie waż de mon może prze twa rzać wszyst¬ 
kie ar ty kuły bez mar twie nia się o syn chro ni za cję sta nów we w nętrz nych z in ny mi 


Dla bar dzo małych ośr odków le piej na da je się pro gram pa mię ci podręcz nej NNTP, )akleafnode, dostęp- 
ny pod adresem http://wpxx02.toxi.uni-wuerzburg.de/~krasel/leadnode.html. 
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kopiami innd dostającymi się do bufora grup w tym samym czasie. Jednak taka 
kon struk cja ma wpływ na całościową ar chi tek tu rę sys te mu grup, po nie waż cho dzi 
o to, aby przy chodzące wia do mo ści były prze twa rza ne tak szyb ko, jak to mo żli we, 
i jest nie do przy jęcia, by serwer zajmował się tak przy ziemny mi za dania mi, jak 
obsługa wia do mo ści przy chodzących przez UUCP. Dla te go te za da nia zo stały od- 
dzie lo ne od głównego ser we ra i za im ple men to wa ne w od dziel nych pro gra mach 
pomoc ni czych.Rysunek23-l prób uje po kazać po wiązania pomiędzy innd a in ny- 
mi lo kał ny mi za da nia mi, zdał ny mi ser we ra mi i przeglądar ka mi grup dys ku syj- 
nych. 

Obecnie do przesyłania artykułów najczęściej służy NNTP, a innd bezpośrednio 
obsługuje tył ko ten protokół. Oznac za to, że innd oczek uje na gnie ździe TCP (port 
119) na połączę nia i przyj muje ar tykuły, używ ając pro tokołu ihave. 

Artykuły przybywające inną drogą, niż przez NNTP, są obsługiwane pośrednio 
przez inny pro ces przyjmujący ar tykuły i przekazujący je doinnd przez NNTP. Wsa¬ 
dy przy chodzące na przykład przez łącze UUCP są tra dyc yjnie obsługiw ane przez 
pro gram rnews. Wer sja te go pro gramu za warta w pa kiec ie INN w ra zie po trzeby de 
komp resu je wsa dy i dzie li je na po jed yncze ar tykuły. Na stępn ie po ko lei prze syła je 
do innd. 

Przeglądarki grup mogą do starczać wia dom ości, gdy użytkownik wy śle artykuł. 
Po niew aż obsługa przegląda rek zasługuje na spe cjalną uwagę, wróć imy do niej za 
chwilę. 



Rysu nek23-1 . Uprosz czo ny sche matarchi tektu ry INN-a 

Przyj mując ar ty kuł, innd naj pierw spraw dza je go ID w pli ku history. Zdu pliko wane 
ar ty kuły są od rzu ca ne, a ich po ja wie nie się jest (opcjo nal nie) od no to wy wa ne. To sa- 
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mo do ty czy ar ty kułów, kt óre są zbyt sta re lub bra ku je im wy ma ga nych pól nagłów¬ 
ka, ta kich jak Sub j ect : *. Je żeli innd stwier dzi, że ar ty kuł jest do przy ję cia, spraw¬ 
dza wiersz nagłów ka Newsgr oups :, by stwier dzić, do której gru py zo stał wysłany 
ar ty kuł. Je żeli w pli ku active znaj dzie jedną lub wię cej grup, ar ty kuł jest za pi sy wa ny 
w po sta ci pli ku na dys ku. W prze ciw nym ra zie jest prze syłany do spe cjal nej gru py 
junk. 

Po jed yncze ar tykuły są prze chow y wa ne w ka tal ogu /var/spool/nezvs, z wa nym ta kże 
buforem grup. Ka żda gru pa ma od dzielny ka tal og, w kt óry m ar tykuł jest za pis y wa ny 
jako oddzielny plik. Nazwy plików mają postać kolejnych numerów, a więc na 
przykład ar tykuł z gru py comp.risks może być za pis any ja ko comp/risks/217. Gdy innd 
stwier dzi, że nie istnieje ka tal og, w kt órym trze ba za pis ać ar tykuł, au tom aty cznie go 
tworzy. 

Za pewne ze chcesz też prze kaz ywać ar tykuły da lej, ja ko da ne wy chodzące, a nie tyl¬ 
ko za pis y wać je lo kaln ie. Zarządza tym plik newsfeeds, który opis uje wszel kie ośrod¬ 
ki, do których po winny być wy syłane ar tykuły zda nej gru py. 

Po dobn ie jak po stro nie od biorc zej innd, tak i po stro nie wy chodzącej, prze twar zanie 
jest obsługiwane także przez jeden interfejs. Zamiast samodzielnie obsługiwać 
wszelkie specyficzne sposoby trans portu, innd opiera się na różnych ukryt ych sys¬ 
tem ach zarządzających prze syłaniem ar tykułów do in nych se rwerów grup. Gru py 
wychodzące są obsługiwane przez kanały. W zależności od przeznaczenia kanał 
może mieć różne atrybuty, określające dokładnie, ja kie informacje prze kaz uje do 
nie go innd. 

W przy pad ku da nych wy chodzących przez NNTP,żnnd mógłby przy uru cha mia niu 
wy wołać pro gram innxmit i prze ka zy wać mu na stan dar do we we jś cie ID, roz miar 
i nazwę pliku każdego artykułu, który powinien być wysłany dalej. Natomiast 
w przy pad ku da nych wy chodzących przez UUCP, mógłby za pi sy wać roz miar ar ty- 
kułu i je go na zwę pli ku do spe cjal ne go pli ku log, któ ry byłby spraw dza ny w re gu- 
lar nych od stę pach cza su przez in ny pro ces, któ ry two rzyłby wsa dy i ko lej ko wał je 
w pod sys te mie UUCP. 

Po za ty mi dwo ma przykłada mi, ist nieją in ne ty py ka nałów, któ re nie ko niecz nie do¬ 
tyczą da nych wy chodzących. Są one uży wa ne na przykład przy ar chi wi zo wa niu 
pewnych grup lub przy generowaniuinformacji przeglądowych. Informacjetakie 
mają po ma gać przeglądar kom efek ty w niej dzie lić ar ty kuły na wątki. Przeglądar ki 
sta re go ty pu muszą przeglądać ko lej no wszyst kie ar ty kuły, by uzy skać z nagłów ka 
in for ma cje wy ma ga ne do po działu na wątki. Ob ciąża to po wa żnie ser wer, szcze golnie 
je żeli uży wasz NNTP. Co wię cej jest to bar dzo wol ne**. Me cha nizm in for ma cji po¬ 
glądowych łagodzi ten problem, ponieważ zapisuje wstępnie wszystkie istotne 
nagłów ki ka ż dej gru py w od dziel nym pli ku ( ,overview). Póź niej przeglądar ka może 
po brać te in for ma cję al bo bez po śred nio ją od czy tując z ka ta lo gu bu fo ra, al bo wy ko- 
nując polecenie XOVER przy połączeniu przez NNTP. Demon innd przekazuje 


* 

** 


Wiek po ka zu je pole nagłówka Datę:. Ogra ni cze nie zwy kle wy no si dwa ty go dnie. 

Po dział tysiąca ar ty kułów na wątki przy ko mu ni ka cji z obciążonym ser we rem może po trwać i5 mi nut, 
co jest do przy ję cia tył ko dla nałogowców uza le żnio nych od Usene tu. 
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wszystkiearty kuły poleceniu ouerchan, któ re jest połączo ne z de mo nem przez ka nał. 
Da lej, przy oka zji oma wia nia kon fi gu ra cji do star cza nia grup, zo ba czy my, jak to jest 
realizowane. 

Przeglądarki grup dyskusyjnych i INN 

Przeglądar ki grup, działające na tej sa mej ma szy nie co ser wer (lub mające za mon to- 
wa ny bu for grup ser we ra przez NFS) mogą czy tac ar ty kuły bez po śred nio z kat al ogów 
bu fo ra. W ce lu wysłania ar ty kułu stwo rzo ne go przez użyt kow ni ka, wy wołują pro¬ 
gram inews, kt óry do da je bra kujące po la nagłów ka i prze ka zu je go do de mo na przez 
NNTP. 

Ewen tu al nie przeglądar ki mogą do sta wać się do ser we ra zdał nie przez NNTP. Aby 
uniknąć ob ciąże nia de mo na, ten typ połączę nia jest obsługi wa ny in a czej niż do star¬ 
czanie grup oparte na NNTP. Gdy przeglądarka podłączy się do serwera NNTP, 
innd tworzy od dzielny program nnrpd obsługujący se sję, na to miast innd wra ca do 
robie nia ważniej szych rzeczy (na przykład odbieraniaprzychodzących wiadomo¬ 
ści)* . Za sta na wiasz się pew nie, jak pro ces inndrozróżnia przy chodzące wia do mo ści 
od podłączającej się przeglądar ki grup. Od po wie dź jest pro sta: pro tokół NNTP wy- 
ma ga, by przeglądar ka opar ta na NNTP wysłała po le ce ni emodereader po połączę niu 
się z ser we rem. Gdy po le ce nie to zo sta nie ode bra ne, ser wer uru cha mia nnrpd , prze¬ 
kazuje mu połączenie i powraca do nasłuchiwania połączeń z innych serwerów 
grup. Zna na jest przy najm niej jed na przeglądar ka DO S-o wa, kt óra nie jest skon fi gu- 
ro wa na w ten sposób i nie uda je się jej połączyć z INN, po nie waż sam innd nie roz po¬ 
zna je żad nych po le ceń uży wa nych do czy ta nia grup, je śli nie wie, że połączę nie po- 
cho dzi od przeglądar ki. 

Nie co wię cej odo stę pie przeglądar ki do IN N-a po wie my w dal szej czę ści te go roz¬ 
działu: Kontrolowaniedostępuprzeglądarki. 

Instalowanie INN-a 

Za nim zagłębi my się w kon fi gu ra cję IN N-a, po wie my tro chę o je go in sta la cji. Prze 
czytaj ten pod roz dział, na wet je żeli za in sta lo wałeś już IN N-a z jakąś dys try bu cją 
Linuk sa. Znaj dziesz tu pe w ne wsk azówki do tyczące bez pie cze ństwa i kom pa ty bil- 
ności. 

Dys try bu cje Linuk sa od pew ne go cza su za wie rają Ver sion INN-1.4sec. Nie ste ty ta 
wer sja wno si dwa próbie my związa ne z bez pie cze ństwem. Now sze wer sje niestwa- 
rzają już tych problemów, a większośćdystrybucjiLinuksazawieraskompilowane 
pli ki bi nar ne wer sji 2. IN N-a (lub now szych). 

Je żeli chcesz, możesz sa mo dziel nie skom pi lo wać IN N-a. Kod źródłowy mo żna zdo¬ 
być z ftp.isc.org z ka ta lo gu /fsc/óm/. Kom pi la cja INN-a wy ma ga edy cji pli ku kon fi- 
gu ra cyj ne go, któ ry prze ka zu je IN N-o wi pew ne szcze goły na te mat sys te mu ope ra- 
cyj ne go i pew nych funk cji, któ re mogą wy ma gać nie wiel kich mo dy fi ka cji. 


Nazwa pro gra mu nnrpd po cho dzi od słów „Net News Read & Post Da emon". 




Pliki ko n fig u racyjne INN-a 


403 


Kompilacja samego pa kietu jest pro sta. Za wiera on bo wiem skrypt BUILD, kt óry 
prze prow adzi cię przez cały pro ces. Kod źródłowy za wiera ta kże sz cze gółową do- 
kum enta cję, mó wiącą, jak za ins talo wać i skon f ig uro wać INN-a. 
Pozainstalowaniuwszyst kich plików binarnych,mogąbyćpotrzebnepewneręczne 
po prawki za pewn iające kom pat ybi lność INN-a z ró żnymi in nymiaplik acj ami, które 
mogą wy mag ać do stępu do programów rnews lub inews. Na przykład UUCP spo¬ 
dziewa się pro gramu rnews w ka tal ogu /usr/bin lub /bin, na tom iast INN in stal uje go 
domyślnie w /usr/lib/bin. Sprawdź, czy /usr/lib/bin/ jest w domyślnej ścież ce prze- 
szuk iwań lub czy ist nieje do wiąza nie sym boi iczne wska żujące na rze czy w istą lo ka- 
lizacjępoleceńmeros i inews. 

Podstawowe konfigurowanie INN-a 

Jedną z naj wię k szych trud no ści, na jaką może na tra fić początkujący, jest to, że INN 
do po praw ne go funk cjo no wa nia wy ma ga działającej kon fi gu ra cji sie cio wej, na wet 
gdy ope ru je na sa mo dziel nym ho ście. Dla te go trze ba do pil no wać dw óch spraw. Po 
pierw sze, jądro two je go Linuk sa mu si obsługi wać sieć TCP /IP, gdy chcesz uru cha- 
miać INN-a. Po dru gie, mu sisz mieć skon fi gu ro wa ny in ter fejs pę tli zwrotnej, opi sa¬ 
ny w roz dzia le 5, Konfigu rowaniesieciTCP/IP. 

Na stępn ie trze ba spraw dzić, czyinnd jest uruc hami any w cza sie inic jacji kom put era. 
Do myś Ina in stal acja INN-a za wiera skrypt o na zwie bootw ka tal ogu /etc/news/.Je żeli 
two ja dys tryb ucja używa pa kietu init ty pu Sys tern V, wy stare zy, że stwo rzysz do- 
wiąza nie symbol iczne do pliku /etc /init. d/inn tak, by wska zywało na /etc/news/boot. 
W in nych wer sjachńiif mu sisz spraw dzić, czy /etc/news/boot jest uruc hami any z jed¬ 
nego z two ich skr yptów rc. Po niew aż INN wy maga sie ci, skrypt star to wy po win ien 
być uruc hami any poskonfigurowaniuinterfejsówsieciowych. 

Pliki konfiguracyjne INN-a 

Je żeli wy ko nałeś te pod sta wo we za da nia, możesz te raz prze jść do na praw dę cie ka- 
wej czę ści IN N-a: je go pli ków kon fi gu ra cyj nych. Wszyst kie te pli ki znaj dują się w 
katalogu /etc/news. W plikach konfiguracyjnych wersji 2. zostały wprowadzone 
pew ne zmia ny, a tu opi su je my właśnie tę wer sję. Je żeli pra cu jesz ze starszą wer sją, 
ten rozdział po wi nien ci po móc w uak tu al nie niu kon fi gu ra cji. W kil ku ko lej nych 
pod roz działach omó wi my ko lej no pli ki, tworząc przykład ową kon fi gu ra cję dla bro 
wa ru wir tu al ne go. 

Gdy byś chciał do wie dzieć się wię cej na te mat funk cji po szcze gól nych pli ków kon fi- 
gu ra cyj nych, możesz ta kże po czy tać po ś wię co ne im stro ny podręcz ni ka elek tro nicz- 
ne go, za war te w dys try bu cji IN N-a. 

Parametryglobalne 

Ist nie jeszeregpar ametró w, któ re mają zna cze nie glo bal ne. Do tyczą one wszyst kich 
grup. 
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Plik inn.conf 


Głównymplikiem konfigu racyjnymINN-a jest inn.conf. Mię dzy in ny mi okre śla on 
na zwę, pod jaką two ja ma szy na jest zna na w sie ci Usenet. Wer sja 2. IN N-a po zwa la 
skonfigurować w tym pli ku zdu mie wająco wie le pa ra me trów. Na szczę ście wię k- 
szość ma war to ści do my śl ne, któ re są sen sow ne dla pra wie wszyst kich ośrod ków. 
Plik inn. conf(5) opisu jeszcze gółowo wszystkie parame tryipo winie neśgodokład nie 
prze czy tac, jeżeli na po tkasz jakie kol wiekproble my. 

Pro sty przykład owy plikunz.eon/mógłby wyglądać tak: 


# PrzykDadowy inn.conf dla browaru wirtualnego 


server: 
domain: 
fromhost: 
pathhost: 
organization: 
mta: 

moderatormailer: 
# 


vlager.vbrew.com 

vbrew.com 

vbrew.com 

news.vbrew.com 

The Virtual Brewery 

/usr/sbin/sendmail -oi 

%s Suunet.uu.net 


# □cieDki do komponentów i plików INN-a 

# 


pathnews: 
pathbin: 
pathfilter: 
pathcontrol: 
pathdb: 
pathetc: 
pathrun: 
pathlog: 
pathhttp: 
pathtmp: 
pathspool: 
patharticles: 
pathoverview: 
pathoutgoing: 
pathincoming: 
patharchive: 
pathuniover: 
overviewname: 


/usr/lib/news 

/usr/lib/news/bin 

/usr/lib/news/bin/filter 

/usr/lib/news/bin/control 

/var/lib/news 

/etc/news 

/var/run/news 

/var/log/news 

/var/log/news 

/var/tmp 

/var/spool/news 

/var/spool/news/articles 

/var/spool/news/overview 

/var/spool/news/outgoing 

/var/spool/news/incoming 

/var/spool/news/archive 

/var/spool/news/uniover 

.overview 


Pierw szy wiersz mówi pro gram om rnews i inews, z kt órymi ho stami mają się kon tak- 
to wać, aby do star czać ar ty kuły. Ten wpis jest bez względn ie ko nieczny. Aby prze 
kaz ać ar tykuły do innd, mu si zo stać na wiąza ne połączę nie NNTP z ser wer em. 

Słowo klu czowe doma i n po winno okres lać do menę pełnej na zwy do men owej ho- 
sta. Kil ka pro gramów po trzeb uje tej do meny. Je żeli two ja bi bliot eka re solvera zwra¬ 
ca je dyn ie na zwę ho sta, jest do nie go do klej ana właśnie ta do mena. Lepiej więc zde 
finiować domain, tym bar dziej, że nie jest to trud ne. 

Na stęp ny wiersz de fi niu je na zwę ho sta, z któ rej ko rzy sta inews, kie dy do da je po la 
From: do artykułów wysłanych przez użytkowników lokalnych. Większość 
przegląda rek grup uży wa po la From: do tworzenia odpowiedzi do autora arty¬ 
kułu. Je żeli po mi niesz to po le, je go do my śl na war tość zo sta nie usta lo na na pod sta¬ 
wie pełnej na zwy do me no wej two je go ho sta. Nie za w sze jest to naj lep sze roz wiąza¬ 
nie. Może się zda rzyć na przykład, że wia do mo ści i pocz ta są obsługi wa ne przez 
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róż ne ho sty. W ta kiej sy tu acji możesz po dać pełną na zwę do me nową ho sta pocz ta 
wegopodyrekty wie f romhost. 

Wiersz pathho s t de fi niu je na zwę ho sta INN, która jest do da wa na do po la Pa th: 
przy odbie ra niu ar ty kułu. Zwykle bę dziesz chciał uży waćpełnej na z wy do me no wej 
two je go ser we ra grup. W ta kiej sy tu acji możesz po minąć to po le, po nie waż ta kie jest 
usta wie nie do my śl ne. Je żeli obsługu jesz dużą do me nę, ze chcesz cza sem użyć na z wy 
og ólnej, jak news.vbrew.com . Ułatwi ci to prze nie sie nie sys te mu grup dys ku syj nych 
na in ne go ho sta, je żeli kie dyś zaj dzie ta ka po trze ba. 

Na stęp ny wiersz za wie ra słowo klu czo we organization.Tadyrektywapo z wa la 
nakonfigurowanienapisu,jakiineicsumieści w wierszu Organization : w ar ty- 
kułach wy syłanych przez użyt kow ni ków lo kal nych. Po wi nie neś tam umie ścić opis 
two jej fir my lub jej pełną na zwę. Możesz jed nak nie być tak ofi cjal ny i przed sta wić 
się bar dziej dow cip nie, co jest te raz mod ne. 

Wpis moderatormailer definiuje domyślny adres używany, gdy użytkownik 
próbuje wysłać ar ty kuł do gru py mo de ro wa nej. Li sta ad re sów mo de ra to rów dla ka- 
ż dej gru py z wy kle znaj dujesięwoddziel nym pli ku, ale jej ak tu ali zo wa nie wy ma ga 
nie mało pra cy (i cza su). Dla te go wpis moderatormail jest uży wa ny w osta tęcz na 
ści. Je żeli jest zde fi nio wa ny ,inews za stąpi ciąg % s (nie co go zmie niając) nazwą gru py 
i wy ś le cały ar ty kuł na ten ad res. Na przykład przy wy syłaniu do gru py soc.feminism , 
ar ty kuł jest, zgod nie z po wy ższą kon fi gu ra cją, wy syłany pod ad res soc-feminism@ 
uunet.uu.net . W UUNET po wi nien być za in sta lo wa ny alias pocz to wy dla ka ż de go 
adresu, przekazujący auto ma tycz nie wszystkie wiadomościdood po wiednie go ma 
deratora. 

Każdy z pozostałych wpisów określa lokalizację niektórych plików związanych 
z kom po nen ta mi lub pli ków wy ko ny wal nych na leżących do INN. Je żeli za in sta la 
wałeś IN N-a z pa kie tu, ście żki te po win ny być już skon fi gu ro wa ne. Je żeli in sta lu- 
jesz go ze źródeł, bę dziesz mu siał skon fi gu ro wać je zgod nie z tym, jak za in sta la 
wałeś INN-a. 

Konfigurowaniegrupdyskusyjnych 

Administrator grup dyskusyjnych może kontrolować dostęp użytkowników do 
grup. INN za wie ra dwa pli ki kon fi gu ra cyj ne po zwa łające ad mi ni stra to ro wi po ka¬ 
zać, kt óre gru py mają być obsługi wa ne i do dać dla nich opis. 

Plikiactiveinewsgroups 

Pli ki active i newsgroups są uży wa ne do prze cho wy wa nia i opi sy wa nia grup dys ku- 
syjnych obsługiwanych przez dany serwer. Zawierają spis grup, które chcemy 
otrzy my wać i do któ rych chce my wy syłać ar ty kuły, oraz do tyczących ich in for ma cji 
ad mi ni stra cyj nych. Pli ki te znaj dują się w ka ta lo gu /var/lib/news/. 

Plik active okreś la, które gru py obsługuje ser wer. Je go skład n ia jest pro sta. Ka żdy 
wiersz pli ku active składa się z czte rech pól od dziel ony ch białymi zna ka mi: 

nazwa zngór zndol znaczniki 
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Po len a z w a to na zwa gru py. Po le zn gór za wie ra naj wy ż szy nu mer ar ty kułu w gru¬ 
pie. Po le zn do I za wie ra naj niż szy nu mer ak tyw ne go ar ty kułu w gru pie. Aby po ka¬ 
zać, jak to działa, rozważ na stępujący scenariusz. Wy obraź sobie, że ma my nowo 
utworzoną grupę dyskusyjną: i zngór, i zndol mają war tość 0, po nie waż w gru pie 
nie ma ar ty kułów. Je śli wy ś le my 5 ar ty kułów, zo staną one po nu me ro wa ne od 1 do 5. 
zngór bę dzie te raz miał war tość 5, czy li naj wy ż szy nu mer ar ty kułu, a zn do 1 bę dzie 
rów ny 1 - nu me ro wi pierw szegoartykułu.Jeżeliartykuł5.zo sta nie anu lo wa ny, nie 
nastąpi zmiana, zngór będzie dalej miał wartość 5, gdyż numery artykułów nie 
mogą być re lo ko wa ne, a zndol bę dzie miał da lej war tość 1. Je żeli te raz anu lu je my 
ar ty kuł 1 , zngór pozo sta nie bez zmian, a zn do 1 bę dzie miał war tość 2, po nie waż 1 
nie jest już ar ty kułem ak ty w nym. Je żeli te raz wy ś le my no wy ar ty kuł, zo sta nie mu 
przy pi sa ny nu mer 6, a więczn gór bę dzie te raz miał war tość 6. Ar ty kuł 5 był wy ko¬ 
rzy sty wa ny, a więc nie zmie nia my je go nu me ru. War tość zn do 1 po zo sta je na po zio- 
mie 2. Me cha nizm ten po zwa la nam pro sto alo ko wać uni kał ne nu me ry dla no wych 
ar ty kułów i sza co wać licz bę ak ty w nych ar ty kułów w gru pie: zngór-zndol. 

Ostatn ie po le może za wier ać jedną z na stęp ujących war toś ci: 

y 

Do pusz czai ne jest wysyłanie bez poś rednio do ser wera. 
n 

Wysyłanie bez pośrednio do ser we ra niejestdopuszczalne.Zapobie ga to wysyła¬ 
niu wia do mo ści przez przeglądar ki bez po śred nio do ser we ra grup. Nowe ar ty- 
kuły mogą być od bie ra ne tył ko z in nych ser we rów grup. 

m 

Grupa jest mo de ro wa na. Wszel kie ar ty kuły wysłane do tej gru py są prze ka zy wa- 
ne do jej mo de ra to ra w celu za twier dze nia, za nim po ja wią się w gru pie. Wię k- 
szość grup nie jest mo de ro wa na. 

i 

Ar ty kuły z tej gru py nie są prze cho wy wa ne, ale je dy nie prze ka zy wa ne da lej. Po- 
wo du je to, że ser wer grup przyj mu je ar ty kuł, ale wszyst ko co z nim robi, to prze 
kazanie dalszym serwerom grup. Artykuły nie są dostępne dla przeglądarek 
podłączających się do tego ser we ra w celu czy ta nia grup. 

Ar ty kuły nie mogą być wysyłane do tej gru py. Je dy nym spo so bem na do star cze 
nie artykułów do tego serwera jest ich przesłanie z innego serwera grup. 
Przeglądar ki nie mogą bez po śred nio za pi sy wać ar ty kułów na ser we rze. 

=foo.bar 

Ar ty kuły są za pis y wa ne lo kalnie w gru pie „foo.bar". 

W naszej prostej konfiguracji serwera obsługujemy niewiele grup, a więc plik 
/var/lib/news/active wygląda tak: 

control 0000000000 0000000001 y 

junk 0000000000 0000000001 y 

rec.crafts.brewing 0000000000 0000000001 y 

rec.crafts.brewing.aleś 0000000000 0000000001 y 

rec.crafts.brewing.badtaste 0000000000 0000000001 y 
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rec.crafts.brewing.brandy 0000000000 0000000001 y 
rec.crafts.brewing.champagne 0000000000 0000000001 y 
rec.crafts.brewing.private 0000000000 0000000001 y 

Nu mery zn gór i zndolw tym przykładzie mają war toś ci pier wotne, ta kie jak przy 
two rzen iu no wych grup. Będą one wyglądały nie co in ac zej, gdy gru pa bę dzie ak¬ 
tywna przez pe wien czas. 

Plik newsgroups jest jeszcze prostszy. Zawiera jednowierszowy opis każdej gru¬ 
py . Nie któ reprzeglądar ki mogą od czy ty wać i przed sta wiać za war te w nim in for ma- 
cje użyt kow ni ko wi, po ma gając mu w ten spo sób zde cy do wać, do któ rej gru py się 
zapisać. 

For mat pliku newsgroups jest pro sty: 

nazwa opis 

Pole nazwa to na zwa gru py, a <opis to wiersz z informacją o treś ci gru py. 

Chce my za pis ać się do po niżs zych grup, obsługiw any ch przez nasz ser wer, a więc 
two rżymy na stęp ujący plik newsgroups : 

rec.crafts.brewing.aleś Home brewing Aleś and Lagers 

rec.crafts.brewing.badtaste Home brewing foul tasting brews 

rec.crafts.brewing.brandy Home brewing your own Brandy 

rec.crafts.brewing.champagne Home brew your own Champagne 

rec.crafts.brewing.private The Virtual Brewery home brewers group 

Kon figuro waniedostarczaniagrupdoinnych serwerów 

INN zapewnia administratorowi grup możliwość kontroli nad tym, które grupy 
i w ja ki spo sób są prze ka zy wa ne do in nych ser we rów. Naj po pu lar niej sze me to dy 
wy ko rzy stują opi sa ny wcze śniej pro to kół NNTP, ale INN do pusz cza ta kże in ne pro- 
to koły, na przykład UUCP. 

Pliknewsfeeds 

Plik newsfeeds okre śla, gdzie będą kie ro wa ne no we ar ty kuły. Zwy kle znaj duje się on 
w ka ta lo gu /etc/news/. 

For mat pli ku newsfeeds początkowo wy daje się nie co skom plik owa ny. Opis zemy tu 
je go og ólny wygląd, a szczegóły znaj dziesz na stro nie podręcz nika elekt roni cznego 
newsfeeds(5). 

For mat jest na stępujący: 

# format pliku newsfeeds 

oDrodek:wzorzec:znacznikiiparametry 

oDrodek2:wzorzec2\ 

:znaczniki2:parametry2 

Każde połączę nie związa ne z prze syłaniem grup do ośrod ka jest opi sa ne w jed nym 
wierszu lub w kilku (wtedy na końcu kontynuowanego wiersza trzeba umieścić 
znak kon ty nu acji \). Znak: roz dzie la po la. Znak #na początku wier sza ozna cza ko¬ 
mentarz. 

Po le oDrodek za wie ra na zwę ośrod ka, dla któ re go jest prze zna czo na da na por cja 
grup. Na zwy mogą być za pi sy wa ne w do wol ny spo sób i nie mu si być to na zwa do- 
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me no wa. Na zwa ta zo sta nie uży ta póź niej do wska za nia wpi su w ta bli cy z nazwą 
hosta, która jest potrzebna programowi innxmit wysyłającemu artykuły przez 
NNTP do serwera zdalnego. Możesz mieć po kilka wpi sów dla każ de go ośrodka. 
Każdy wpisbędzie rozpatrywany indywidualnie. 

Pole wzorzec okre śla, które gru py mają być wy syłane do da ne go ośrod ka. Do my śl- 
nie wy syłane są wszyst kie gru py, a więc je żeli te go właśnie chcesz, po pro stu po zo¬ 
staw pole puste. Zwykle pole to zawiera oddzielaną przecinkami listę wyra- 
żeń-wzorców. Do zna ku * pa su je ze ro lub wię cej do wol nych zn aków, znak (.) nie ma 
szczególnego zna cze nia, znak! (je żeli zo stał uży ty na początku wy ra że nia) re ali zu je 
lo giczną ope ra cję NOT, a znak @ na początku na zwy gru py ozna cza „Nie prze ka zuj 
żadnych artykułów, które zostały wysłane do tej grupy". Lista jest odczytywana 
i ana li zo wa na od le wej do pra wej stro ny, a więc po wi nie neś na początku umiesz czać 
dokład niej sze reguły. Wzorzec: 

rec.crafts.brewing*,!rec.crafts.brewing.poison,@rec.crafts.brewing.private 

spo wod uje wysłanie wszyst kich grup z hie rarc hii rec.crafts.brewing z wyjątkiem gru¬ 
py rec.craf ts.brewing.poison. Nie zo staną prze kaz ane żadne ar tykuły wysłane do gru¬ 
py rec.crafts.brewing.prioate. Zo staną za trzym ane i będą do stępne tyl ko dla lu dzi z te 
go ser wera. Gdy byś za mienił miej scami dwa pierw sze wzór ce, pierw szy zo stałby 
nadpisany przez drugi i skończyłoby się to przekazaniem wszystkich artykułów 
z gru py rec.crafts .brewing .poison. To sa mo do tyc zy pierw szego i ostatn iego wzór ca. 
Zawsze musisz umieszc zać dokład niejs ze wzór ce przed mniej dokład nymi, je żeli 
mają działać tak, jak chcesz. 

Po le znaczniki kontrolujeprzekazywanieartykułówdodanegoośrodkainakłada 
ogra ni cze nia. Po le to jest od dzie laną prze cin ka mi listą za wie rającą niż ej wy mie nio- 
neelementy: 

<rozmiar 

Ar ty kuł musi mieć mniej bajtów niż za dany roz miar. 

A elementy 

Sprawdza nie artykułów. El emen ty mogą być mieć war tość jed nego lub kil ku d 
(musi mieć nagłówek Distribution) lub p (nie spraw dzaj nagłówka Path dla 
tego ośrodka). 

B wys/nis 

Roz miar bu fora we wn ętrzne go przed za pis ani em na wyjść ie. 

H/ liczba/ 

Ar ty kul musi mieć mniej niż liczba hopów - do my śl nie 1. 

I rozmiar 

Roz miar bu fora we wn ętrzne go (do prze syłania plik ów). 

Mw zorzec 

Do tego wzór ca pa sują tyl ko gru py mo der owa ne. 

N wzorzec 

Do tego wzór ca pa sują tyl ko gru py nie mod ero wane. 



Pliki ko n fig u racyjne INN-a 


409 


Srozmiar 

Rozpoczęcie buforowania, jeżeli zostanie zakolejkowanewięcej bajtów niż za¬ 
dany rozmiar. 

T typ 

Typyprzekazy wania:f (plik), m (stru mień; pole parametry musi za wie rac na¬ 
zwy wp isów, do kt órych ar ty kuły będą prze ka zy wa ne), p (prze ka żywa nie przez 
po tok do pro gra mu), c (wysyłanie do kanału st din pod pro ce su pola paramet ry) 
i x (jak c, ale obsługuje po lecenia na st din). 

W elementy 

Co za pi sać: b (roz miar ar ty kułu w baj tach), f (pełna ście żka), g (pierw sza gru pa 
dyskusyjna), m (ID wiadomości), n (ścieżka względna), s (ośrodek,zktórego 
przyszedł artykuł), t (czas odebrania), * (nazwy strumieni wejściowych lub 
wszyst kich ośrod ków, któ re mają ar ty kuł), N (nagłówek gru py dys ku syj nej), D 
(nagłówekdystrybucji), H (wszyst kie nagłówki), o (dane poglądowe) i R (dane 
replikacyjne). 

Po le p a r ame t r y jest spe cjal nie ko do wa ne w za le żno ści od spo so bu do star cza nia 
grup innym ser werom. W większościpopularnych konfiguracji poda jesz na zwę pli¬ 
ku wy ni ko we go, do któ re go bę dziesz za pi sy wał wy chodzące ar ty kuły. W in nych 
możesz go nie po da wać. W jesz cze in nych kon fi gu ra cjach ma ono róż ne zna cze nia. 
Jeżeli chcesz zrobić coś niezwykłego, podręcznik newsfeeds(5) wyjaśni ci szcze¬ 
gółowo za sto so wa nie po la p a r ame t r y. 

Istnieje szczególna nazwa ośrodka, kodowana jako ME, którą powinien zawierać 
pierw szy wpis w pli ku. Wpis ten jest uży wa ny do kon tro lo wa nia do my śl nych usta¬ 
wień do star cza nia grup. Je żeli wpisME po sia da związaną z do star cza niem li stę dys¬ 
trybucji, będzie ona doklejana do każdego wpisu zawierającego ośrodek przed 
wysłaniem do nie go grup. Po zwa la to na przykład na au to ma tycz ne prze ka zy wa nie 
pe w nych grup lub au to ma tycz ne blo ko wa nieprzekaza nia in nych bez po trze by po- 
wta rza nia wzór ca w ka żdym opi sie ośrod ka. 

Wspo mnie liś my wcze śniej, że mo żli we jest uży cie pew nych połączeń spe cjal nych 
do wy ge ne ro wa nia wątku da nych, który ułatwia pra cę przeglądar ki. Wątek da nych 
jest generowany za pomocą poleceniaoverchan będące goczę ścią dys try bu cji INN. 
Wcze śniej jed nak trzeba stwo rzyć spe cjalną lo kalną por cję o na zwie ove rvi e w, prze- 
ka żującą ar ty kuły do po le ce nia ouerchan w ce lu prze two rze nia na da ne po glądo we. 
Nasz serwer będzie udostępniał grupy tylko jednemu serwerowi zewnętrznemu, 
który znaj du je się na uni wer sy te cie Gro ucho Marx i po bie ra ar ty kuły ze wszyst kich 
grup, po za control, junk grupą lo kalną rec.crafts.brewing.prwate i rec.crafts.brewing.pa 
ison, z któ rej nie chce my udo stęp niać ar ty kułów wysłanych przez oso by z na sze go 
browaru. 

Do prze syłania grup przez NNTP do ser we ra news. groucho.edu,użyjemypolecenia 
nntpsend. Wy ma ga ono uży cia me to dy do star cza nia „fi le" i za pi sy wa nia ście żki i ID 
artykułu. Zauważ, że ustawiliśmy pole parametry na nazwę pliku wynikowego. 
Nie co wię cej o po le ce niu nn tpsend po wie my za ch wi lę. Na sza do ce lo wa kon fi gu ra cja 
wygląda tak: 
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# Plik /etc/news/newsfeeds dla browaru wirtualnego 

# 

# DomyDlnie wysyDamy wszystkie grupy poza control i junk 
ME:!control,!junk:: 

# 

# Generujemy dane poglDdowe dla przeglDdarek grup. 
overview::Tc,WO:/usr/lib/news/bin/overchan 

# 

# Dostarczamy uniwersytetowi Groucho Marx wszystko poza naszD 

# prywatnD grupD i artykuDami wysDanymi na rec.crafts.brewing. 

# poison,@rec.crafts.brewing.private:\ 

Tf,Wnm:news.groucho.edu 

# 

Plik nntpsend.ctl 

Pro gram nntpsend zarządza prze syłaniem ar ty kułów przez NNTP, wy wołując po le 
cenie innxmit. Widzieliśmy wcześniej prostezastosowaniepoleceniamzfpsend, ale 
ma ono też plik kon fi gu ra cyj ny dający pewną ela stycz ność w kon fi gu ro wa niu do- 
star cza nia przez nas grup. 

Folecenie nntpsend spo dziewa się plików wsa dow ych dla ośrodków, do których ma 
wy syłać gru py. Oczek uje, że będą one miały na zwy po staci: /var/spo ol/news/out.go 
ing/ nazwaoDrodka. innd tworzy te pliki wsadowe na podstawie wpisu w pliku 
newsfeeds, który widzieliśmy w poprzednim podrozdziale. W polu parametry 
okreś liii śmy na zwę ośrodka ja ko na zwę pli ku i tym sa mym spełni liśmy wy mag ania 
co do da nych we jśc iowy ch dla po lec euianntpsend. 

Po lec enie nntpsend ma plik kon fig ura cyj ny o na zwie nntpsend.ctl , który zwy kle znaj¬ 
duje się w ka tal ogu /etc/news/. 

Plik nntpsend.ctl po zwa la nam związać pełną na zwę do me nową, ogra ni cze nia roz- 
mia ru prze syłanej por cji ar ty kułów i ogra ni cze nia pa ra me trów trans mi sji z nazwą 
ośrodka. Nazwa ta ma unikalnie identyfikować logiczną, wysyłaną porcję arty¬ 
kułów. Ogól ny for mat pli ku jest na stę pujący: 

nazwaoDrodka:fqdn:max_rozmiar:[argumenty] 

Po niżs zalistaopisujeposzcze gólne elem enty te go wier sza: 

nazwaoDrodka 

Na zwa ośrodka zgod nie z podaną w pli ku newsfeeds. 

fqdn 

Pełna na zwa do men owa ser wera grup, do któ rego prze syłamy ar tykuły. 

max_rozmiar 

Mak sy mai na wiel kość por cji ar tykułów wysyłanych za jed nym ra zem. 

argumenty 

Do dat ko we ar gum enty prze kaz y wa ne do po lec eniauz u if. 

Na szej przykład o wejkonfi gura cji wy star czy bardzo pro sty plik nntpsend.ctl. Mamy 
tyl ko jed no miej sce, do któ re go prze ka zu je my gru py. Ogra ni czy my jedną por cję do 
2 MB i prze ka żerny po le ce niu innxmit ar gu ment usta wiający czas ocze ki wa nia na 3 
minuty (180 sekund). Gdybyśmy byli większym ośrodkiem i mieli więcej porcji 
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grup, stwo rzy li by śmy po dob ne wpi sy dla ka ż de go ośrod ka, do któ re go prze ka zy- 
walibyśmy grupy. 

# /etc/news/nntpsend.ctl 

# 

gmarxu:news.groucho.edu:2m:-t 180 
# 

Kontrolowaniedostępu przeglądarki 

Jesz cze nie tak daw no te mu róż ne or ga ni za cje bar dzo chęt nie udo stęp niały wszyst¬ 
kim serwery grup dyskusyjnych.Obecnie trud no jest zna leźć ser we ry publiczne. 
Większośćorganizacjiskrupulatnienadzorujedostępdo s wo ich ser we rów, zwłasz¬ 
cza ogra ni cza do stęp użyt ko w ni kom swo jej sie ci. INN po sia da pli ki kon f i gu ra cyj ne 
po zwa łające na kon tro lę do stę pu. 

Plikincoming.conf 

We wpro wa dze niu do INN-a wspo mnie liś my, że działa ono efek tyw nie i jest nie 
wiel kiedziękirozdzieleniumechanizmuprzekazy wa niawiadomościinnymserwe 
rom od me cha ni zmu ich przegląda nia. W pli ku /etc/news/incoming.conf umiesz czasz 
ho sty, któ re będą ci do star czały gru py przez pro to kół NNTP, orazpewneparametry 
sterujące sposobem, w jaki twój host pobiera z nich ar ty kuły. Wszelkie ho sty nie 
wpi sa ne w tym pli ku, a łączące się z gniaz dem news nie będą obsługi wa ne przez de 
mona innd, ale przez nnrpd. 

Skład nia pli ku /etc/news/incoming.conf jest bar dzo pro sta, ale jej zro zu mie nie może 
zająć chwi lę. Do pusz czai ne są trzy ty py wpi sów: pa ra klucz/war tość, któ ra okre śla 
sposóbpodawaniaatrybutówiichwartościparametryrównorzędne,któreokreślają 
spo sób po da wa nia nazw ho sta, któ ry może wy syłać do nas ar ty kuły przez NNTP 
oraz gru py, któ rych do tyczą po przed nie war to ści. Pa ry klucz/war tość mogą mieć 
trzyróżnezakresy.Paryglobalnedo tyczą każdegoelementuzdefinio wa ne go w pli¬ 
ku, gru py par do tyczą wszyst kich ele men tów zde fi nio wa nych w da nej gru pie, a pa¬ 
ry rów no wa żne do tyczą ty 1 ko da ne go kon kret ne go przy pad ku. De fi ni cje bar dziej 
szczegółowe unieważniają te mniej szczegółowe i dlatego definicje równoważne 
unie wa żniają de fi ni cje grup, któ re z ko lei unie wa żniają pa ry glo bal ne. 

Na wiasy kłam rowe ({)) są używane do oznaczenia początku i ko ńca de fin icji gr oup 
i p e e r. Znak #oznacza,żedalszyciąg wier sza to ko ment arz. Pa ry klucz / war tość są 
od dziel ane dwu kropk iem i są wpi syw ane w wier szu po jed ynczo. 

Mo żna po dać sze reg róż nych klu czy. Naj częś ciej używ ane i naj bard ziej przy datne 
z nich to: 

hostname 

Ten klucz okre śla, od dzie laną prze cin ka mi, li stę pełnych nazw do me no wych lub ad- 
re sów IP ho st ów ró wn or zędnych, kt óre mogą wysyłać nam ar ty kuły. Je żeli ten klucz 
nie zo sta nie poda ny, przyj mo wa na jest do my śl na na zwa ho sta part ner skie go. 
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streaming 

Ten klucz okre śla, czy dla da ne go ho sta są do pusz czai ne po le ce nia stru mie nio we. 
Jest to war tość boo le'owska, do my śl nie -true. 
max-connections 

Ten klucz określa maksymalną liczbę połączeń do pusze żalnych z danej grupy 
lub z hos tów rów no ważnych. War tość zero oznac za nie ogran icz oną ich licz bę 
(mo żna ta kże po dać none). 
password 

Ten klucz po zwala ci okreś lić hasło, które musi być używ ane przez part nera, je¬ 
żeli ma on pra wo prze syłać wiadomości. Do myś lnie hasło nie jest wy mag ane. 

patterns 

Ten klucz okreś la gru py, któ re przyj muj emy od part nera. Pole to jest ko dow ane 
zgod nie z tymi sa mymi regułami, kt óry ch używ ali śmy w pli ku newsfeeds. 

W na szym przykładzie ma my tył ko je den host, który może nam do star czać gru py: 
nasz dostawca z uniwersytetu Groucho Marx. Nie potrzebujemy hasła, ale nie 
będziemy przyjmować z zewnątrz żadnych artykułów do naszych prywatnych 
grup. Nasz hosts.nntp wygląda tak: 

# Plik incoming.conf browaru wirtualnego 

# Ustawienia globalne 

streaming: true 

max-connections: 5 

# Pozwalamy na wysyDanie NNTP z naszego hosta lokalnego 
peer ME { 

hostname: "localhost, 127.0.0.1" 

} 


# Pozwalamy groucho na wysyDanie nam wszystkich grup poza lokalnymi, 
peer groucho { 

hostname: news.groucho.edu 

patterns: !rec.crafts.brewing.private 


Pliknnrp.access 

Wspomnieliśmy już, że przeglądarki grup, a w rzeczywistości wszelkie hosty 
nie uwzględnione w pliku hosts.nntp, które łączą się z serwerem grup INN, są 
obsługi wa ne przez pro gram nnrpd. Pro gram ten uży wa pli ku /etc/news/nnrp.access 
do okre śle nia, kto ma pra wo ko rzy stać z ser we ra grup i ja kie po wi nien mieć pra wa 
dostępu. 

Plik nnrp.access ma budowę podobną do innych plików konfiguracyjnych, które 
omaw iali śmy do tej po ry. Składa się z ze stawu wz orców używ any ch do do pas owy 
wan ia nazw lub adresów IP łączących się hostów i pól, które okreś łają, ja kie pra wa 
do stępu po winny być im da ne. Ka żdy wpis po win ien znaj dow ać się w od dzieln ym 
wier szu, a po la po winny być od dziel one dwu kropk ami. Jak zwy kle używ any bę¬ 
dzie ostatni wpis w pli ku pa sujący do podłączające go się ho sta, a więc po win ieneś 
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umieszc zać wzór ce ogól ne na początku, a na stępn ie wzór ce szcz egółowe. Pięć pól 
w ka żdym wpi sie ma na stęp ujące zna czen ie: 

Na zwa ho sta lub ad res IP 

To pole jest zgod ne z regułami do pas owa nia wzór ca wildmat(3). Jest to wzo rzec 
opis ujący na zwę ho sta lub ad res IP podłączającego się ho sta. 

Prawadostępu 

To pole okres la, ja kie pra wa do stępu po winny być na dane pa sującemu ho stowi. 
Ist nieją dwa ro dzaje praw, kt óre możesz skon fig uro wać: R daje pra wo czy tan ia, 
a P daje pra wo wysyłania. 

Nazwaużytkownika 

To pole jest opcjo nal ne i po zwa la okre ślić na zwę użyt kow ni ka, na któ re go musi 
się za lo go wać klient NNTP, za nim bę dzie mógł wysyłać ar ty kuły. Pole to mo żna 
po zo sta wić pu ste. Do czy ta nia ar ty kułów nie jest po trzeb na żad na au to ry za cja. 
Hasło 

To pole jest opcjo nal ne i za wie ra hasło to wa rzyszące polu nazwa uDytkowni- 
ka. Pozo sta wie nie tego pola pu ste go ozna cza, że do wysyłania ar ty kułów nie jest 
wymagane hasło. 

Grupy 

To pole jest wzór cem okre ślającym, do któ rych grup klient ma do stęp. Wzo rzec 
pod le ga tym sa mym regułom, ja kie były uży wa ne w pli ku newsfeeds. Domy ślną 
war to ścią tego pola jest brak grup, a więc zwy kle po da jesz tu ja kiś wzo rzec. 

W przykładzie bro wa ru wir tu al ne go po zwa la my ka ż de mu klien to wi NNTP z do- 
me ny bor wa ru na czy ta nie wszyst kich grup i wy syłanie do nich. Wszyst kim in nym 
klien tom NNTP da je my pra wo do czy ta nia wszyst kich grup po za na szy mi we w- 
nętrznymi grupami prywatnymi. Nasz plik nnrp.access będzie wyglądał nastę¬ 
pująco: 

# Virtual Brewery - nnrp.access 

# Pozwalamy publicznie czytaD wszystkie grupy poza prywatnymi. 

*:R: :!rec.crafts.brewing.private 

# KaDdy host z domeny browaru moDe czytaD i wysyDaD artykuDy 

# do wszystkich grup 
*.vbrew.com:RP::* 

Wy ga sa n ie ar ty kułów w g ru pach 

Ar ty kuły od bie ra ne przez ser wer grup są za pi sy wa ne na dysk. Aby to miało sens, 
ar ty kuły muszą być do stęp ne dla użytkowników przez ja kiś okres cza su, a więc du¬ 
ży ser wer grup może zaj mo wać wie le miej sca na dys ku. Aby miej sce to było wy ko- 
rzysty waneefektywnie, możesz wal czyć o au to ma tycz ne usu wa nie ar ty kułów po 
zadanym okresie czasu. Nazywa się to wygaśnięciem artykułu. Oczywiście INN 
obsługuje automatyczne wy gasaniearty kułów. 
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Plikexpi re.ctl 

Do usu wa nia sta rych ar ty kułów ser wer INN uży wa pro gra mu expire. Pro gram ten 
z ko lei wy ko rzy stu je plik /etc/news/expire.ctl, w któ rym są skon fi gu ro wa ne re guły za¬ 
rządzające wygasaniem artykułów. 

Składniapliku/efc/nezus/ezpire.cf/jestdośćprosta.Podobniejakwwiększościpli ków 
kon fig ura cyj nych, pu ste wier sze lub wier sze roz poc zynające się zna kiem #są igno- 
ro wa ne. Ogólna za sada jest ta ka, że ka żdą re gułę pi szesz w od dzieln ym wier szu. 
Ka żda re guła de fin iuje, jak jest re aliz owa ne wy gas anie ar tykułu w gru pach zgod¬ 
nych z za dan y m wzór cem. Skład nia re guły wygląda tak: 

wzorzec:znmod:trzymanie:domyJlnie:czyszczenie 

Po niżs za li sta opis uje posz cze gólne po la reguły: 

wzorzec 

To pole jest od dziel aną prze cink ami listą wzór ców do pas owujących na zwy grup. 
Do ich spraw dzan ia jest uży w ana pro ced ura wildmat(3). Sto sow ana jest ostatn ia 
z pa sujących reguł, a więc gdybyś chciał umieszc zać reguły ze sta w ień uni wer sal- 
nych (*), po winny być w pli ku jako pierw sze. 

znmod 

Ten znacz nik opis uje, jak reguła jest sto sow ana do grup mo der owa nych. Może 
on być za pis any jako M, co oznac za, że reguła do tyc zy tył ko grup mo der owa nych, 
albo jako U, co oznac za, że reguła do tyc zy tyl ko grup nie mod ero wan ych. Mo żna 
też użyć A, aby wskazać, że reguła ignoruje status moderowania i dotyczy 
wszystkich grup. 

trzymanie 

To pole po zwala okreś lić mi nim alny czas, przez jaki bę dzie prze chow ywa ny ar¬ 
tykuł zustawionympolemExpiresw nagłówku, zanimwygaś nie.War tość jest 
określana w dniach, ale dopuszczalne są liczby zmiennoprzecinkowe, a więc 
możesz po dać war tość7.5, któ ra oznac za sie dem i pół dnia. Możesz ta kże po dać 
ne ve r, je żeli chcesz, by ar tykuł po zos tał w gru pie na zaw sze. 

domyślnie 

To pole jest naj wa żniej sze. Po zwa la okre ślić czas, przez jaki bę dzie prze cho wy- 
wany artykuł bez pola nagłówka Expires. Większość artykułów nie będzie 
miała ta kie go pola w nagłówku. Pole d omyO lnie jest ko do wa ne dokład nie w ten 
sam sposób jak pole trzymanie. never oznacza, że artykuł bez nagłówka 
Expires nigdy nie wygaśnie. 

czyszczenie 

To pole po zwala za dać mak sym alny czas, przez jaki bę dzie prze chow ywa ny ar¬ 
tykuł z polem Expires, zanim wygaśnie.Kodowanie tego pola przebiega tak 
samo jak pola trzymanie. 

Nasze wymagania są proste. Będziemy przechowywać wszystkie artykuły we 
wszystkich grupach domyślnie przez 14 dni, natomiast artykuły z nagłówkiem 
Expires, od 7 do 21 dni. Grupa rec.crafts.brewing.prwate jest naszą grupą wew¬ 
nętrzną, a więc nie chce my, by ja kie kol wiek ar ty kuły w niej za war te wy ga sały: 
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# plik expire.ctl dla browaru wirtualnego 

# DomyOlne wygasanie wszystkich artykuDów po 14 dniach. Od 7 

# do 21 dni dla tych, które majD nagdówek Expires: 

*:A:7:14:21 

# To jest specjalna grupa wewnDtrzna, która nie wygasa, 
rec.crafts.brewing.private:A:never:never:never 

Powiemy jeszcze o jednym specjalnym rodzaju wpisu, który może się znaleźć 
w two im pli ku /etc/news/expire.ctl . Możesz mieć dokład nie je den wiersz wy glądający 
tak: 

/ remember / : dni 

Po zwa la on za dać mi ni malną licz bę dni, przez jaką ar ty kuł bę dzie pa mię ta ny w pli¬ 
ku hi sto rii, bez wzglę du na to, czy sam ar ty kul wy gasł, czy nie. Może to być przy dat- 
ne, je żeli je den z ośrod ków do star czających nam ar ty kuły nie ro bi te go czę sto i ma 
ten den cję do przy syłania sta rych ar ty kułów. Usta wie nie po la / remember /po ma ga 
za po biec po now ne mu przy syłaniu ar ty kułu, któ ry u nas już wy gasł. Je żeli twój ser¬ 
wer pa mię ta, że już otrzy mai kie dyś ta ki ar ty kuł, od rzu ci pró bę po now ne go je go 
przysłania. Trze ba pa mię tać, że to usta wie nie nie ma żad ne go wpływu na wy ga sa¬ 
nie artykulu.Dotyczy je dy nie cza su prze cho wy wa nia in for ma cji o ar ty ku le w pli ku 
historii. 

Obsługi waniewiadomości kontrolnych 

Tak jak C News, tak i INN może au to ma tycz nie prze twa rzać wia do mo ści kon tro 1 ne. 
INN ma do sko nały me cha nizm kon fi gu ra cyj ny nad zo rujący działania, ja kie są po- 
dej mo wa ne dla ka ż dej z wia do mo ści kon tro 1 nych, oraz me cha nizm kon tro li do stę- 
pu, któ ry czu wa nad tym, kto za ini cjo wał działanie i wo bec ja kich grup. 

Plikcontrol.ctl 

Budowa plikucontrol.ctl jest do syć pro sta. Re guły składnio we są w za sa dzie ta kie sa¬ 
me jak w przypadku innych plików konfiguracyjnych INN-a. Wiersze rozpoczy¬ 
nające się od zna ku #są igno ro wa ne; wier sze mo żna kon ty nu ować uży wając zna ku 
/, a po la są od dzie la ne dwu krop ka mi. 

Gdy zo sta nie ode bra na wia do mość kon tro 1 na, jest spraw dza na po ko lei z ka żdą re 
gulą. Sto so wa na jest jak zwy kle ostatnia pa sująca re gula w pli ku, a więc po wi nie neś 
umiesz czać ogólne re guły na początku pli ku, a dokład niej sze pod je go ko nieć. Og ólna 
skład nia pli ku jest na stę pująca: 

wiadomoOO:skOd:grupa:dzia/anie 

Zna czen ie pos zcze gólnych pól jest na stęp ujące: 
wiadomość 

Jest to na zwa wia dom ości kon troi nej. Typowe wia dom ości kon troi ne opis uje my 
dalej. 
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skąd 

Jest to wzorzec opisujący adres e-mail osoby wysyłającej wiadomość. Przed 
porównaniem ad res jest kon wert owa ny do małych li ter. 

grupa 

Jeżeliwiadomośćkontrolnatonewgroup lub rmgroup, to pole ma po stać wzor¬ 
ca pa sującego do two rzon ej lub usuw anej gru py. 
działanie 

To pole określa, jakie działanie podjąć, gdy wiadomość pa suje do reguły. Mo¬ 
żliwe są ró żne działania, opis ane na na stępn ej liś cie. 

Po le w i adomóOD w ka żdym wier szu może przyj mo wać na stę pujące war tość: 
checkgroups 

Ta wia dom ość sta no wi żąda nie wo bec ad min ist ratora grup, by zsy n chroń izo wał 
swoją bazę ak tywn ych grup z listą grup do stare zoną w wia dom ości kon troi nej. 

newgroup 

Ta wia dom ość sta nowi żąda nie utwór zenia no wej gru py. Treść wia dom ości po¬ 
winna za wier ać kr ótki opis prze znać zenia two rzon ej gru py. 

rmgroup 

Ta wia dom ość sta nowi żąda nie usuń ięcia gru py. 
sendsys 

Ta wia dom ość sta nowi żąda nie przesłania pocztą pli ku sys z ser wera grup do 
nadaw cy wia dom ości. RFC-1036 mówi, że wa runk iem człon kos twa w Usenecie 
jest pu bliczne udos tępni anie tej wia dom ości, po niew aż jest ona wy kor zyst y wana 
przy uakt ual nia niu map usenetowych. 

oersion 

Ta wia dom ość sta nowi żąda nie zwro tu do nadaw cy tej wia dom ości na zwy ho sta 
i wer sji oprog ramo wan ia ser wera grup. 

all 

Jest to spe cjalny za pis, do którego pa sują wszyst kie wia dom ości kon troi ne. 

Po le wi adomoOD może za wie rać na stę pujące działania: 
doił 

Żądane polecenie jest wykonywane. W wielu przypadkach do administratora 
jest wysyłana wia dom ość e-ma il z in form acją, że dane działanie miało miej sce. 

doit=plik 

Jest to działanie iden tycz ne z do i t, ale do pli ku log plik zo sta nie za pi sa ny ko mu- 
nikat. Jeżeli podanym plikiem jest mail, wpis log jest wysyłany pocztą. Jeżeli 
podanym plikiem jest ciąg pusty, wiado mośćlogjestza pisy wana do /dev/null 
i jest to równo wa żne z użyciem czy ste go po le ce nia do i t. Je żeli na zwa plik roz po¬ 
czyna się od znaku /, jest uznawana za bezwzględną ścieżkę do pliku log. 
W przeciwnym razie zadana nazwa jest zamieniana do postaci /yar/log/news / 
file.log. 



Pliki ko n fig u racyjne INN-a 


417 


doifarg 

Żądane po le ce nie jest wy ko ny wa ne, je żeli ma ar gu ment. Je żeli nie maargumentu, 
wia do mość kon tro 1 na jest igno ro wa na. 
drop 

Żądane po lec enie jest ignor owa ne. 
log 

Wia do mość log jest wysyłana na stan dard owe wy jśc ie błędów s t de r r pro cesu 
innd . Nor maln ie jest prze kier owy wana do pli ku /var/log/news/errlog. 

log=plik 

To samo co log, ale plik log jest za daw any na tych sa mych za sad ach co w przy¬ 
padku działania doit =plik. 

mail 

Do administratora jest wysyłana wiadomość e-mail zawierająca żądane szcze¬ 
góły. Żadne inne działanie nie jest po dej mo wa ne. 

verify~* 

Je żeli działanie roz poc zyna się od ciągu "verif y-",wiadomośćkontrolnajest 
uwier zyte lnia na przez PGP (lub GPG)*. 

Abyś mógł zobaczyć, jak plikcoufro/.cf/wygląda wrze czy wi sto ści, pokazu je my pro¬ 
sty przykład: 

## PrzykDadowy plik /etc/news/control.ctl 

## 

## Uwaga: nie powinieneD uDywaD tego pliku - sDuDy on tylko do 
## demonstracji 

## ObsDuga wiadomoDci kontrolnych 

all:*:*:mail 

checkgroups:*:*:mail 

ihave:*:*:drop 

sendme:*:*:drop 

sendsys:*:*:log=sendsys 

senduuname:*:*:log=senduuname 

version:*:*:log=version 

newgroup:*:*:mail 

rmgroup:*:*:mail 

## ObsDuga wiadomoDci kontrolnych dla oDmiu najwaDniejszych 
## hierarchii grup 

## COMP, HUMANITIES, MISC, NEWS, REC, SCI, SOC, TALK 

checkgroups:*:comp:*|humanities.*|misc.*|news.*|rec.*|sci.*|talk.*:drop 
newgroup:*:comp:*|humanities.*|misc.*|news.*|rec.*|sci.*|talk.*:drop 
rmgroup:*:comp:*|humanities.*|misc.*|news.*|rec.*|sci.*|talk.*:drop 
checkgroups:group-admin@isc.org:*:verify-news.announce.newgroups 
newgroup:group-admin@isc.org:comp.*|misc.*|news.*:verify-news.announ¬ 
ce .newgroups 

newgroup:group-admin@isc.org:rec.*|sci.*|soc.*:verify-news.announce.newgroups 
newgroup:group-admin@isc.org:talk.*|humanities.*:verify-news.announce.newgroups 


PGP i GPG to na rzę dzia stwo rzo ne do uwie rzy tel nia nia lub szy fro wa nia wia do mo ści za po mocą tech¬ 
nik klu cza pu blicz ne go. GPG jest wer sją GNU PGP. GPG mo żna zna le źć pod ad re sem http://www/gnu- 
pg.° r gl, a PGP pod ad re semhttp: Hwww.pgp.com/. 
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rmgroup:group-admin@isc.org:comp.*|misc.*|news.*:verify-news.announce.newgroups 
rmgroup:group-admin@isc.org:rec.*|sci.*|soc.*:verify-news.announce.newgroups 
rmgroup:group-admin@isc.org:talk.*|humanities.*:verify-news.announce.newgroups 

## GNU ( Free Software Foundation ) 
newgroup:gnu@prep.ai.mit.edu:gnu.*:doit 
newgroup:news@*ai.mit.edu:gnu.*:doit 
rmgroup:gnu@prep.ai.mit.edu:gnu.*:doit 
rmgroup:news@*ai.mit.edu:gnu.*:doit 

## LINUX (Newsfeed from news.lameter.com) 
checkgroups:chrisoph@lameter.com:linux.*:doit 
newgroup:chrisoph@lameter.com:linux.*:doit 
rmgroup:christoph@lameter.com:linux.*:doit 

Eksploatowanie INN-a 

Pa kiet źródłowy INN za wie ra skrypt uru cha miający inn w cza sie ini cja cji sys te mu. 
Skrypt zwykle nosi na zwę /usr/lib/news/bin/rc.news. Czy ta on argumenty z inne go 
skryptu o nazwie /usr/Kb/news/innshellvars, który zawiera nazwy plików i ścieżki 
uży wa ne przez inn do lo ka li za cji po trzeb nych mu ele men tów. Do brze jest uru cha- 
miać inn z pra wa mi do stę pu użyt kow ni ka in ne go niż ro ot, na przykład news. 

Aby inn na pewno uruchomił się w czasie w czasie startu systemu, powinieneś 
spraw dzić, czy plik /usr/lib/news/innshelhars jest skon fig uro wany po prawn ie, a na- 
stępn ie wy wołać skrypt /usr/lib/news/bin/rc.news ze skryp tu uruc hami anego w cza sie 
startu. 

Po nad to, co ja kiś czas na le ży wy konywaćpewnezadaniaadmini stra cyj ne. Zwy kle 
konfiguruje się je tak, aby były uruchamiane poleceniem cron. Najlepszym sposo¬ 
bem na zro bie nie te go jest do da nie od po wied nich po le ceń do pli ku /etc/cron tab lub 
stwo rze nie pli ku od po wied nie go dla ka ta lo gu /etc/cron .d , je żeli two ja dys try bu cja to 
obsługu je. Ta ki przykład o wy plik może wyglądać na stę pująco: 

# PrzykDadowy plik /etc/cron.d/inn uDywany w dystrybucji Debian 

# 

SHELL=/bin/sh 

PATH=/usr/lib/news/bin:/sbin:/bin:/usr/sbin:/usr/bin 

# WygaDniDcie starych artykuDów i wygenerowanie raportów 

# kaDdej nocy 

15 O * * * news news.daily expireover lowmark delayrm 

# Co godzinD uruchomienie rnews -U. Nie jest to tylko dla 

# oDrodków UUCP, ale takDe przetwarza artykuDy skolejkowane 

# przez in.nnrpd w sytuacji, gdy innd nie przyjmować Dadnych 

# artykuDów. 

10 * * * * n e W s rnews -U 

Codziennie te polecenia automatycznie usuwają stare artykuły oraz co godzinę 
prze twa rzają ar ty kuły z ko lej ki. Za uważ, że są uru cha mia ne z pra wa mi uży t kow ni- 

ka news. 
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Zarządzanie INN-em: polecenie ctlinnd 

Ser wer grup INN za wie ra po le ce nie do zarządza nia je go co dzień nym działaniem. 
Pole ce ni ectlinnd może być uży wa ne do ope ro wa nia na gru pach i por cjach grup wy¬ 
syłanych do in nych ser we rów, uzy ski wa nia sta nu ser we ra oraz do przeład o wy wa- 
nia, zatrzymywa nia iuruchamianiaserwera. 

Pod sum owa nie działania po lec enia ctlinnd możesz uzys kac, uży w ając po lec enia na¬ 
stępująco: 

# ctlinnd -h 

Omówimy tu kilka z ważniejszych zastosowań ctlinnd. Więcej szczegółów znaj¬ 
dziesz na stro nie podręcz nika po święć onej te mu po lec eniu. 

Dodawanie nowej grupy 

Aby dodać nową gru pę, użyj po le ce nia na stę pująco: 

ctlinnd newgroup grupa znacz twórca 

Ar gum enty mają na stęp ujące zna czen ie: 

grupa 

Nazwa tworzonejgrupy. 

znacz 

Ten ar gum ent po win ien być za pis y wa ny w ten sam sp osób jak pole znaczniki 
pli ku actiue. Do myś lnie jest przyj mow ana war tość y, je żeli nic in nego nie zo stan ie 
podane. 

twórca 

Na zwa osoby tworzącej gru pę. Umieść ją w cu dzysłowie, je żeli chcesz wpi sać ja¬ 
kieś spacje. 

Zmianagrupy 

Aby zmie nić gru pę, użyj po le ce nia na stę pująco: 
ctlinnd changegroup grupa znacz 
Ar gum enty mają na stęp ujące zna czen ie: 

grupa 

Na zwa zmie nian ej gru py. 

znacz 

Ten ar gum ent po win ien być za pis y wa ny w ten sam sp osób co pole znaczniki 
plikuflcfróe. 

To po le ce nie przy da je się przy zmia nie sta tu su mo de ro wa nia gru py. 
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Usuwaniegrupy 

Aby usunąć gru pę, użyj po le ce nia na stę pująco: 

ctlinnd rmgroup grupa 

Ar gum ent ma na stęp ujące zna czen ie: 

grupa 

Nazwa usu wa nej gru py. 

To po le ce nie usu wa za daną gru pę z pli ku active. Nie ma wpływu na ka ta log bu fo ra. 
Wszystkie zawarte w nim artykuły wygasną w zwykły sposób, a nowe nie będą 
przyjmowane. 

Przenumerowaniegrupy 

Aby prze nu me ro wać gru pę, użyj po le ce nia na stę pująco: 

ctlinnd renumber grupa 

Argumentmanastępująceznaczenie: 

grupa 

Na zwa przenumerowanej gru py. Je żeli grupa jest pu stym ciągiem zn aków, prze 
num ero wy w ane są wszyst kie gru py. 

To po le ce nie uak tu al nia doi ny znacz nik w za da nej gru pie. 

Używa nieserwera przez przegladarkigrup-pozwalanieizabranianie 

Użyj po niż sze go po le ce nia, aby po z wo lic lub za bro nić przeglądar kom ko rzy stać z ser¬ 
wera: 

ctlinnd readers znacz tekst 

Ar gum enty mają na stęp ujące zna czen ie: 

znacz 

Je śli jest ustaw iony na n, za bran ia podłączać się przeglądar kom grup. Poda nie y 
po zwala na przyj mow anie połączeń od przegląda rek. 

tekst 

Podany tekst jest prze kaz y wa ny do przeglądar ki, któ ra pró buje się podłączyć 
i zwy kle opis uje powód za bron ienia do stępu. Przy po nown ym włącza niu do¬ 
stępu przeglądar kom, pole to musi być pu stym ciągiem lub kopią tek stu poda¬ 
nego przy za kaz ie do stępu. 

To po le ce nie nie wpływa na przy chodzące z in nych se rweró w por cje grup. Kon tro lu je 
je dynie do stęp przegląda rek. 



Zarządza nie INN-em:po lece nie ctlinnd 


421 


Odmowapołączeniazinnegoserwera 

Aby odmówić połączę nia in ne mu ser we ro wi, użyj po le ce nia na stę pująco: 

ctlinnd reject powód 

Ar gum en t ma na stęp ujące zna czen ie: 

powód 

Poda ny tekst po wi nien wy ja śniać, dla cze go przy chodzące do innd połączę nia są 
odrzucane. 

To polecenie nie ma wpływu na połączenia obsługiwane przez nnrpd (tzn. 
przeglądar ki grup). Do ty czy je dy nie połączeń, któ re są obsługi wa ne bez po śred nio 
przez innd, czy li połączeń z in nych se rwerów. 

Pozwolenienapołączeniazinnegoserwera 

Aby po zw o lic na połączę nia innemuser we ro wi, użyj po le ce nia na stę pująco: 

ctlinnd allow powód 

Ar gum ent ma na stęp ujące zna czen ie: 

powód 

Poda ny tekst musi być ident yczny z poda nym w po lec eniu reject lub musi być to 
ciąg pusty. 

To po le ce nie od wra ca działanie po le ce nia reject. 

Zamknięcieserweragrup 

Aby za mknąć ser wer grup, użyj po le ce nia na stę pująco: 

ctlinnd throttle powód 

Ar gum en t ma na stęp ujące zna czen ie: 

powód 

Po wód za mknięc ia serwera. 

Topole cenie jestrównoważnezjednoczesnym wy daniem po lece nianewsreaders no 
i reject. Jest przy dat ne przy pra cach awa ryj nych wy ko ny wa nych na ba zie ser we ra 
grup. Da je pew ność, że nikt nie bę dzie pr óbował go uak tu al nić, gdy przy nim pra cu jesz. 

Restart serweragrup 

Aby zre star to wać ser wer grup, użyj po le ce nia na stę pująco: 

ctlinnd go powód 

Ar gum ent ma na stęp ujące zna czen ie: 

powód 

Po wód za trzym ania ser wera. Je żeli pole to jest pu stym ciągiem zn aków, ser wer 
zo stan ie bez war unko wo po nown ie włączo ny. Je żeli po wód zo stał poda ny, to tyl¬ 
ko funk cje, które są wyłączo ne z po wodu zgod nego z poda nym tek stem, zo staną 
ponownieuruchomione. 
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Roz dział 23: In ter net News 


To po le ce nie jest uży wa ne do po now ne go uru cha mia nia ser we ra po wy ko na niu po¬ 
le ceń throttle, pause lub reject. 

Wyświetlaniestatusupobieraniaplikówzinnegoserwera 

Aby wy ś wie tlić sta tus po bie ra nia pl ików z in ne go ser we ra, użyj po le ce nia na stę- 
pująco: 

ctlinnd feedinfo cOrodek 

Ar gum ent ma na stęp ujące zna czen ie: 

oJrodek 

Na zwa ośrodka (wzię ta z pli ku newsfeeds), dla któr ego chcesz wy świet lić sta tus. 

Odłączę nie do star cza nia pl i ków z in ne go ser we ra 

Aby wyłączyć do star cza nie pl ików z in ne go ser we ra, użyj po le ce nia na stę pująco: 

ctlinnd drop cGrodek 

Argumentmanastępująceznaczenie: 

oJrodek 

Na zwa ośrodka (wzię ta z pli ku newsfeeds ), dla któr ego do stare zanie pl ików jest 
wyłączane. Jeżeli pole jest pustym ciągiem, wszystkie aktywne transmisje zo¬ 
staną prze rwane. 

Wyłączę nie do star cza nia pli ków za trzy mu je wszel kie ak ty w ne trans mi sje do da ne 
go ośrod ka. Nie jest to zmia na stała. Po le ce nie jest przy dat ne, je żeli mo dy fi ku jesz 
szcze goły związa ne z prze syłaniem pli ków z da ne go ośrod ka, a trans mi sja jest aku¬ 
rat aktyw na. 

Rozpoczynaniedostarczaniaplikówzinnegoserwera 

Aby rozpocząćdostarcza nie pl ików z in ne go ser we ra, użyj po le ce nia na stę pująco: 

ctlinnd begin oUrodek 

Argumentmanastępująceznaczenie: 

oJrodek 

Na zwa ośrod ka wzięta z pli kunewsfeeds, z któr ego roz po czę to prze syłanie plik ów. 
Je żeli prze syłanie z tego ośrod ka jest już ak ty w ne, au to ma tycz nie jest wy ko ny wa- 
ne po le ce nie drop. 

To po le ce nie powodu je, że ser wer czy ta po no w nie plik newsfeeds , znaj du je pa sujący 
wpis i roz po czy na prze syłanie plików do /z da ne go ośrod ka zgod nie ze zna le zio ny- 
mi szc ze gółami. Możesz użyć te go po le ce nia do prze te sto wa nia no wych wp isów po 
ich do da niu lub mo dy fi ka cji w pli ku newsfeeds. 
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Anulowanieartykułu 

Aby anu lo wać ar ty kuł, użyj po le ce nia na stę pująco: 
ctlinnd cancel ID-artykuUu 
Ar gum ent ma na stęp ujące zna czen ie: 

ID-artykuLu 

ID anul owa nego ar tykułu. 

Topoleceniepowoduje,żezadanyartykułzostanieusuniętyzserwera.Niegeneruje 
wiadomości cancel. 



_ 24 

Konfigurowanie 
przeglądarki grup 
dyskusyjnych 



Przeglądarka grup to pro gram, któ ry uży t kow nik uru cha mia do ogląda nia, za cho wy- 
wania i tworzenia artykułów w grupach dyskusyjnych. Do Linuksa przeniesiono 
kilka przeglądarek grup. Opiszemy podstawową konfiguracjętrzech najpopular 
niej szych: tin, trn i nn. 

Jedną z naj bard ziej efekt y wny ch przegląda rek jest na stęp ujące po lec enie: 

$ find /var/spool/news -name '[0-9]*' -exec cat {} \; | morę 
W ten sposób ar ty kuły z grup czy tają uniks owi twar dziele. 

Wię k szość przegląda rek jest jed nakbar dziej wy ra fino wa na. Zwy kle mają pełno ekra¬ 
nowy interfejs z oddzielnymi poziomami do wyświetlania wszystkich grup, do 
których uży t kow nik się za pisał, do prze gla da nia li sty ar ty kułów w ka ż dej gru pie i po¬ 
je dyn czych ar ty kułów. Wie le przegląda rek WWW działa również ja ko przeglądar ki 
grup, ale je żeli chcesz uży wać nie za le żnej przeglądar ki - grup, ten roz dział wy ja śnią, 
jak skon figurować dwie pod stawo we :tm i nn. 

Na poziomie grup większość przeglądarek wyświetla listę artykułów, pokazując 
wiersz z ty tulem i au to rem. W du żych gru pach trud no jest śle dzić ar ty kuły ze sobą 
związane,choćmożli wejestidenty fiko wanieod po wiedzina wcześniejsze artykuły. 

Odpowiedzi zwy kle noszą ty tuł ory gi nal ne go ar ty kułu z przed rost kiem Re :. Po¬ 
nad to wiersz nagłów kaReference: powinienza wie rać ID wia do mo ści, na którą 
ar ty kułstano wiodpo wiedź. Sor to wa nie ar ty kułów według tych dwóch kry te riów 
da je nie wiel kie ze sta wy ar ty kułów (w rze czy wi sto ści drze wa), któ re są na zy wa ne 
wątkami. Jed nym z za dań przy two rze niu przeglądar ki grup jest wy na le zie nie efek¬ 
ty w ne go spo so bu obsługi wątków, po nie waż czas do te go po trzeb ny jest pro por cjo- 
nal ny do kwa dra tu licz by ar ty kułów. 

Nie będziemy wnikać w to, jak są zbudowaneinterfejsy użytkownika.Wszystkie 
obec nie do stęp ne dla Linuk sa przeglądar ki mają do sko nałą funk cję po mo cy, a więc 
sko rzy staj z niej, je żeli chcesz po znać wię cej szcze gółów. 
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Rozdzial24:Konfigurowanieprzeglądarkigrupdyskusyjnych 


W kolejnych podrozdziałach zajmiemy się jedynie zadaniami administracyjnymi. 
Wię ks zość z nich ma związek z two rzen iem baz wątków i li czen iem. 

Konfigurowanietina 

Naj bar dziej wszech stronną przeglądarką obsługującą wątki jest tin. Zo stała ona na- 
pi sa na przez la ina Lea i na wiązu je do star szej przeglądar ki tass (na pi sa nej przez Ri- 
cha Skren ta). Po dział na wątki od by wa się w mo men cie we jś cia przez użyt kow ni ka 
do gru py i jest na praw dę szyb ki, pod wa run kiem, że nie ko rzy stasz z NNTP. 

Na komputerze 486DX50 podzielenie tysiąca artykułów na wątki zajmuje 30 se¬ 
kund, je śli są od czy ty wa ne bez po śred nio z dys ku. Na to miast przy podłączę niu się 
do ob ciążone go ser we ra NNTP trwa to po nad 5 mi nut*. Możesz skro cić ten czas, re 
gu lar nie uaktualniając plik indeksu przez wy wołanie tina z opcją -u, tak że gdy na¬ 
stęp nym ra zem uru cho misz tina, wątki już będą ist niały. Możesz ta kże wy wołać tina 
z opcją -U przy czy ta niu grup. Przy ta kim wy wołaniu tin two rzy działający w tle 
pro ces, któ ry two rzy pli ki in dek sów, kie dy ty czy tasz gru py. 

Zwy kle tin za pi su je ba zy wątk ów w ka ta lo gu ma cie rzy s tym użyt kow ni ka w pod ka ta 
lo gu ,tin/index. Może to po chłaniać du żo za sobów, a więc chy ba le piej mieć jedną ba zę 
w cen trał nym miej scu. W tym ce lu na le ży usta wić dla tina na przykład pra wo se tu id 
news. tin bę dzie w ta kiej sy tu acji prze cho wy wał ba zy wątk ów w ka ta lo gu /var/spool/ 
news/.index. W przy pad ku do stę pu do plików lub w wy wołaniu powłoki bę dzie zmie¬ 
niał efek ty w ny uid na rze czy wi sty uid wy wołujące go go użyt kow ni ka**. 

Wersja tina dołączona do pewnych dystrybucji Linuksa jest skompilowana bez 
obsługi NNTP, ale większość ją ma. Gdy wy wołasz tina jako rtin lub z opcją -r, 
próbuje on połączyć się z serwerem NNTP podanym w pliku /etc/nntpserver lub 
w zmień nej śród owi sko wej NNT P S E RVER. Plik nntpseruer po pro stu za wiera na zwę 
ser wera umieszc zoną w od dzieln ym wier szu. 

Konfigurowanietrn 

trn również jest na stępcą star szej przeglądar ki grup, rn (skrót od ang. read news), „t" 
w nazwie pochodzi od słowa threaded (obsługująca wątki). Została ona napisana 
przez Wayne'a David so na. 

W odróż nie niu od tina, trn nie ma mo żliw ości ge ner owa nia ba zy wątk ów w cza sie 
pra cy. Wy kor zyst uje za to wątki przy gotowa ne przez pro gram mthreads, który mu si 
być re gul arnie wy woły wany z crona w ce lu ak tua liza cji pl ików in deksu. 

Możesz czy tać no we ar tykuły bez uruc homionegomthreads, ale wte dy sta le bę dziesz 
na potykaćpo rozrzucane tytuły, ta kie jak„PRAWDZIWA OKAZ JA!", które mthreads 
umieś ciłby w jed nym wątku, który łatwo po minąć. 


* Po pra wia się to znacz nie, je żeli ser wer sam do ko nu je po działu na wątki i prze ka zu je bazę wątków 
klien to wi. Na przykład tak robi INN. 

** Z tego po wo du bę dziesz wi dział brzyd kie ko mu ni ka ty błędów przy wywoływa niu tina jako su pe ru ży t- 
kow nik. W ko ńcu nie po wi nie neś wy ko ny wać ru ty no wych za dań jakoroo t 
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Aby włączyć wątki dla konkretnych grup, wy wołaj mthreads z listą grup podaną 
w wierszu po lec eń. For mat li sty jest ta ki sam jak w pli ku sys w C News: 

$ mthreads 'comp,rec,|rec.games.go' 

To po lec enie włącza wątki dla wszyst kich grup comp i rec, za wyjątkiem comp.ga¬ 
mes.go (lu dzie, kt órzy grają w go, nie po trzeb ują luk sus owy ch wątków). Na stępn ie 
możesz normalnie wy wołać mthreads bez żadnych opcji, aby podzielić na wątki 
wszystkie nowo przychodzące artykuły. Podział na wątki wszystkich grup znaj¬ 
dujących się w twoim pli ku actiue może być włączo ny przez wy wołanie mthreads 
z listą grup all. 

Je żeli otrzym uje sz ar tykuły z grup w no cy, zwy kle bę dziesz uruc hamialmthreads ra¬ 
no, ale możesz także robić to częściej, jeżeli jest taka potrzeba. Duże, obciążone 
ośrodki ze chcą uruc hami aćmthreads w try bie de mona. Gdy zo stan ie on uru cho mio¬ 
ny w cza sie inic jacji sys temu z opcją -d, pra cuje w tle i bu dzi się co dzie sięć mi nut, by 
spraw dzić, czy nie na deszły no we ar tykuły, kt óre trze ba po dziel ić na wątki. Aby 
uruc homić mthreads w try bie de mona, umieść po niżs zy wiersz w swo im skryp cie 
rc.news: 

/usr/local/bin/rn/mthreads -deav 

Opcja -a po wod uje, że mthreads au tom aty cznie włącza dzie len ie na wątki no wych 
grup, za raz po ich utwór zeniu, a -u włącza ko mun ika ty umieszc zane przezmthreads 
w pli ku mt.logw ka tal ogu, w kt órym jest za ins talo wany trn. 

Sta re ar ty kuły, kt óre nie są już do stęp ne, muszą być re gu lar nie usu wa ne z pli ków in- 
dek so wych. Do my śl nie tyl ko ar ty kuły o nu me rze niż szym od doi ne go znacz ni ka będą 
usu wa ne*. Ar ty kuły o nu me rach wię kszych, któ re wygasły (po nie waż naj star sze mu ar¬ 
tykułowi został przypisany dłuższy czas wygaśnięcia przez pole nagłówka Expi- 
res:), mogą mi mo wszyst ko zo stać usu nię te przez poda nie opcji -e wy mu szającej wy¬ 
ga sanie„rozszerzone".Gdy mthreads działa w trybie demona, opcja -e powoduje,że 
mthreads wy ko nu je ta kie „roz sze rzo ne" wy ga sa nie raz dzień nie, za raz po polno cy. 

Konfigurowanie nn 

M«,na pi sa na przez Ki ma F. Stor ma, zda je się być przeglądarką, której głównym ce 
lem nie jest czy ta nie grup. Jej na zwa po cho dzi od słów No News (brak wia do mo ści), 
a jej mot tern są słowa „No news is go od news, nn is better" (brak wia do mo ści to do¬ 
bra wia do mość, nn jest lep sza). 

Aby osiągnąć ten am bit ny cel, n n po sia da sze reg na rzę dzi po moc ni czych, któ re nie 
tyl ko po zwa łają ge ne ro wać wątki, ale ta kże in ten sy w nie spraw dzać spój ność ba zy 
da nych, li czyć i zbie rać sta ty sty ki użyt ko wa nia oraz ogra ni czać do stęp. Ist nie je też 
pro gram ad mi ni stra cyj ny n nadmin, któ ry po zwa la na in te rak ty w ne wy ko ny wa nie 
tych za dań. Jest on bar dzo in tu icyj ny, a więc nie będzie my się na nim sku piać. Omó- 
wimyjedyniegenerowanieplikówindeksów. 


Za uważ,żeC News (opi sa nywroz dziale 21,CNea?s)nieuak tu alniaau to ma tycz nie tego znacz ni ka-mu 
sisz uru cha mia eupdatemin, aby to zro bić. 
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Me ned żer ba zy wątk ów n n no si na zwę nnmaster. Zwy kle jest uruc hami any ja ko de 
mon w pli ku rc w cza sie star tu kom put era. Jest wy woły wany tak: 

/usr/local/lib/nn/nnmaster -1 -r -C 

To po lec enie włącza po dział na wątki dla wszyst kich grup obecn ych w pli ku active. 

Podobnie możesz wy woływać nnmaster okresowo z crona, podając listę grup, na 
których ma działać. Jest to bar dzo po dob ne do li sty sub skryp cyj nej w pli ku sys, z tą 
różnicą, że uży wa się spa cji za miast pr zecinków. Za miast sztucz nej gru py all, do 
ozna cze nia wszyst kich grup na le ży użyć ar gu men tu pu ste go " ". Przykład o we wy¬ 
wołanie wygląda tak: 

# /usr/local/lib/nn/nnmaster !rec.games.go rec comp 

Za uważ, że ko lej ność jest istot na. Zaw sze wy gry wa ta pa sująca gru pa, któ ra znaj du je 
sięnajbardziejpolewejstronie.Dlatego,gdybyśmyumieścili! rec . games . go po rec, 
wszyst kie ar ty kuły z tej gru py byłyby po dzie lo ne na wątki bez wzglę du na wszyst ko. 

nn ofer uje kil ka spo sobów usuw ania wy gaś nięty ch ar tykułów z baz da nych. Pierw¬ 
szym jest uakt ual nia nie ba zy przez przegląda nie ka talogów grup i od rzuć anie wpi¬ 
sów od noszących się do ar tykułów, kt órym upłynął czas prze chow ywa nia. Jest to 
domyślne działanie uzyskiwane przez wy wołanie nnmaster z opcją -E. Po lec enie to 
działa szyb ko, pod wa runk iem, że używ asz NNTP. 

Druga metoda działa dokładnie tak jak domyślne wygasanie obsługiwane przez 
mthreads . Usuwa tył ko te wpi sy, któ re od noszą się do ar tykułów o nu mer ach niż¬ 
szych niż doi ny znacz nik w pli ku actwe. Mo żna ją włączyć opcją -e. 

Trze cia stra teg ia usuwa całą ba zę i zbie ra po nown ie wszyst kie ar tykuły. Mo żna ją 
włączyć, używ ając opcji -E3. 

Li sta grup do wy gaś nięcia jest po daw ana przez opcję -P w ten sam sposób jak po¬ 
wyżej. Jednakjeżeli nnmaster działa jako demon, mu sisz go unie est wić (używ ając 
opcji -k), za nim nastąpi czas wygaś nięcia i za raz po tern uruc homić oryg ina lne opcje. 
Dlatego poprawne polecenie uruchamiane w celu usunięcia nieaktualnych ar¬ 
tykułów ze wszyst kich grup za po mocą pierw szej me tody wygląda na stęp ująco: 

# nnmaster -kF "" 

# nnmaster -IrC 

Ist nieje wie le in nych zn aczników, które regulują za chow ani enn. Je żeli mar twisz się 
o usuw anie złych ar tykułów lub ich gro mad żeni e, prze czyt aj stro nę podręcz nika nn¬ 
master. 

nnmaster opie ra się na znaj dującym się wka ta logu /var/lib/nn pli ku GROUPS. Je żeli 
go nie ma, gdy nnmaster jest uru cha miany po raz pierwszy, tworzy się go. Plik ten za- 
wie ra dla ka ż dej gru py wiersz roz po czy nający się od jej na zwy, po któ rej opcjo nal- 
nie wy stę pu je znacz nik cza so wy i znacz ni ki. Możesz je edy to wać, by włączyć ja kieś 
ce chy da nej gru py, ale nie możesz zmie niać ko lej no ści po ja wia nia się grup. (Ich ko¬ 
lej ność mu si się zga dzać z wpi sa mi w pli ku (bi nar nym) MASTER). Dopuszczalne 
znacz ni ki i ich działanie są rów nież szcze gółowo opi sa ne na stro nach podręcz ni ka 
nnmaster. 



A 

Przykładowa sieć: 
browar wirtualny 


W tej książce posługiwaliśmy się poniższym przykładem, który jest nieco mniej 
skom pli ko wa ny od przykładu z uni wer sy te tern Gro ucho Marx i może być bar dziej 
zbliż ony do za dań, kt óre rze czy wiś cie bę dziesz wy ko ny wał. 

Bro war wir tu al ny to nie wiel ka fir ma, któ ra jak sa ma na zwa wska zu je, zaj mu je się 
wa rze niem wir tu al ne go pi wa. Aby efek ty w niej zarządzać swo im biz ne sem, właści- 
cie lebro wa ru chcie li połączyć swo je kom pu te ry w sieć. Do brze się złożyło, że są to 
PC, na któ rych działa wspa niały Li nux. Ry su nek A-l po ka zu je kon fi gu ra cję sie ci. 

Na tym sa mym pię trze znaj du je się ta kże wi niar nia wir tu al na, któ ra ściś le współpra¬ 
cuje z bro wa rem. Ma własną sieć Et her net. Zu pełnie na tu rai ne jest, że obie fir my 
chcą połączy ć swo je sie ci. Pierw szym kro kiem jest skon f i gu ro wa nie ga te waya, któ ry 
prze ka zu je da ta gra my po mię dzy d wo ma pod sie cia mi. Da lej chcą mieć łącze UUCP 
ze świa tern ze w nętrz nym, przez któ re mogą wy mie niać pocz tę i gru py dys ku syj ne. 
Na dłuższą me tę będą ta kże chciały ze sta wiać połączę nia PPP w ce lu łącze nia się 
zlokalizacjamiod ległymi i z In ter ne tem. 

Bro war wir tua lny i wir tua Ina wi niarn ia mają pod sieci kła sy C wy dziel one z sie ci B 
browaru, a gatewayem do każdej z nich jest host vlager, który obsługuje także 
połączę nie UUCP. Kon fig ura cję po kaz ano na ry sunku A-2. 


Winiarnia wirtualna Browar wirtualny 
172.16.2.0/ 172.16.1.0/ 

255.255.255.0 255.255.255.0 
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430 


Do da tek A: Przykład o wa sieć: browar wir tu alny 
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RysunekA-2.Siećbrowaruwirtualnego 


Podłączanie sieci wirtualnej filii 

Wir tu al ny bro war roz ra sta się i otwie ra fi lię w innym mie ście. W fi lii działa od dziel¬ 
na sieć Et her net po sia dająca własny nu mer IP sie ci 172.16.3.0 , któ ry jest 3. pod sie cią 
sie ci kia sy B bro wa ru. Host vlager działa ja ko ga te way dla sie ci bro wa ru i obsługu je 
łącze PPP. Je go part ner w no wej gałęzi to vbourbonpo sia dający ad res IP172.16.3.1. 
T ę sieć po ka żuje ry su nek A-2. 































B 

Przydatne 
konfiguracje kabli 


Je śli chcesz połączyć ze sobą dwa kom pu te ry, a nie masz sie ci Et her net, po trze bu jesz 
ka bla sze re go we go nuli mo dem lub ka bla ró wnoległego PLIP. 

Ka ble te mo żna ku pić w skle pie, ale bę dzie du żo ta niej i pro ściej, je śli zro bisz je sam. 

Kabel równoległy PLIP 

Aby zro bić ka bel ró wnoległy uży wa ny do połączę nia PLIP, bę dziesz po trze bo wał 
dwóch złączy 25-pinowych (zwanych DB-25) i kabla o przynajmniej jedenastu 
żyłach. Ka bel nie może być dłuż szy niż 15 metrów (50 stóp). Ka bel może, ale nie mu¬ 
si być ekra no wa ny, choć gdy ro bisz długi ka bel, le piej jest za sto so wać ekran. 

Je śli pa trzysz na złącze, po win ieneś za uważ yć nie wielk ie nu merki przy ka żdym pi¬ 
nie - od 1 dla pi nu po le wej stro nie u góry (je żeli trzy masz szerszą stroną do góry) do 
25 przy pinie po prawej stronie na dole. W przypadku kabla nuli printer musisz 
połączyć ze sobą od pow iednie pi ny obu złączy tak jak po ka za no na ry sunku B-l. 

Wszyst kie pozo stałe pi ny na le ży po zo sta wić nie podłączo ne. Je żeli ka bel jest ekra no¬ 
wa ny, ekran po wi nien być podłączo ny do me ta lo wej obu do wy DB-25 tyl ko po jednej 
stronie. 

Kabel szeregowy NULL modem 

Ka bel sze re go wy nuli mo dem bę dzie działał za rów no dla połączę nia SLIP, jak i dla 
PPP. Znów po trze bu jesz dwóch złączy DB-25. Tym ra zem ka bel mu si być ośmio- 
żyłowy. 

Być może spo tkałeś się z inną bu dową ka bli nuli mo dem, ale ta po zwa la ci na za sto so¬ 
wa nie sprz ę to wej kon tro li przepływu - co jest du żo lep sze od kon tro li XON / XOPP - 
lub żad nej. Połączę nia po ka za no na ry sun ku B-2. 

Znów, je żeli masz ka bel ekran owa ny, po win ieneś podłączyć pierw szy pin tyl ko po 
jednej stro nie. 
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Linux - podręcznik administratora sieci. 

Wydanie drugie*. 
Informacje o prawach autorskich 


Co py ri ght © 19 93 Olaf Kirch 
Copyright©2000TerryDawson 

Co py ri ght wer sji dru ko wa nej 0'Re illy © 2000 0'R ei lly & As so cia tes 

Wersja elektroniczna tej książki, która w czasie drukowania tej pozycji zawiera 
dokład nie tę samą tre ść co wer sja dru ko wa na 0'R ei 11 y'ego, jest do stęp na na wa run¬ 
kach li cen cji GNU FDL. Pra wa do prze dru ku do ku men tu na Li cen cji FDL obej mują 
pra wo do dru ko wa nia i roz po wszech nia nia dru ko wa nych ko pii wer sji elek tro nicz- 
nej .Pra wa do ko pio wa nia dru ko wa nej wer sji O' R eilly są za strze żonę. Elek tro niczną 
wer sję li cen cji mo żna zna le źć pod ad re semhttp://zvzvzv.oreilly.com/ca talog/linag/licen 
seinfo.html. Książka jest do stęp na pod ad re semhttp:llzvzvzv.linuxdoc.orglLDP/nag/nag. 
html oraz http://zvzvzv.oreilly.com/catalog/linag/ i może być zamieszczana w innych 
miejscach. 

Ze zwa la się na ko pio wa nie, dru ko wa nie, roz po wszech nia nie i mo dy fi ko wa nie do¬ 
ku men tu elek tro nicz ne go na wa run kach li cen cji GNU Free Do cu men ta tion Li cen se 
w wer sji 1.1 lub ja kiej kol wiek now szej wer sji opu bli ko wa nej przez Free So ftwa re Fo- 
un da tion. W przy pad ku Sek cji nie zmień nych, ta kich jak po dzię ko wa nia (we Ws tępię 
i do dat ku Cpt.Linux- podręcznikad ministra tora sieci. Wy da nie drugie. Infor ma eje o pra- 
zoachau torskich), dal sze po dzię ko wa nia mo żna do da wać tyl ko po za ty mi sek cja mi. 
Na początku mu si zna le źć się na stę pująca in for ma cja: 

Linux-podręcznikadministratorasieci 
Olaf Kirch i Ter ry Daw son 
Copyright©1993 01afKirch 
Co py ri ght © 2000 Ter ry Daw son 

Copyright wer sji dru ko wa nej O' Re il ly' ego© 2000 O' R ei lly & As so cia tes 


W ję zy ku poi skim jest to pierw sze wy da nie tej książki (-przyp. red.). 
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Po niż ej za miesz czo no ko pię Li cen cji GNU Free Do cu men ta tion Li cen se, którą mo¬ 
żna zna leźć ta kże(wwersjiorygi nalnej) podadresem/zffp://iOTOTe. gnu. org/copyleft/fdl. 
html. 

Wer sja 1.1, ma rzec 2000 

Co py ri ght © 2000 Free So ftwa re Fo un da tion, Inc. 

59 Tern ple Pla ce. Su ite 330, Bo ston, MA 02111-1307 USA 

Ze zwa la się na ko pio wa nie i roz po wszech nia nie wier nych ko pii ni niej sze go do¬ 
ku men tu li cen cyj ne go, jed nakbez pra wa wpro wa dza nia zmian. 

0. Preambuła 

Celem niniejszej licencji jest zagwarantowanie wolnego dostępu do podręcznika, 
tre ści książki i wszel kiej do ku men ta cji w for mie pi sa nej oraz za pew nie nie ka ż de mu 
użytkownikowiswobodykopiowania i rozpowszechniania wyżej wy mienionych, 
z do ko ny wa niem mo dy f i ka cji lub bez, zarówno w ce lach ko mer cyj nych, jak i nie ko¬ 
mercyjnych. Ponadto Licencja ta pozwala przyznać zasługi autorowi i wydawcy 
przy jed no cze snym ich zwo le nie niu z od po wie dział no ści za mo dy fi ka cje do ko ny- 
wa ne przez in nych. 

Ni niej sza Li cen cja za strze ga też, że wszel kie pra ce po wstale na pod sta wie te go do¬ 
ku men tu muszą no sić ce chę wol ne go do stę pu w tym sa mym sen sie co pro dukt ory¬ 
ginał ny. Li cen cja sta no wi uzu pełnie nie Po wszech nej Li cen cji Pu blicz nej GNU (GNU 
Gene ralPublic Li cense), która jestli cen cjądo tyczącą wolnodostęp ne go oprogramo¬ 
wania. 

Niniejsza Licencja została opracowana z zamiarem zastosowania jej do 
podręczników do wolnodostępnego oprogramowania, ponieważ wolnodostępne 
oprogramowanie wy maga wolnodostępnejdokumenta cji: wolnodostępnyprogram 
po wi nienbyć roz po wszech nia ny z podręcz ni ka mi, których do tyczą te sa me pra wa, 
które wiążą się z oprogramowaniem. Licencja ta nie ogranicza się jednak do 
podręczników opro gra mo wa nia. Mo żna ją sto so wać do różnych dokumentów tek- 
sto wych, bez wzglę du na ich przed miot oraz nie za le żnie od te go, czy zo stały opu bli- 
ko wa ne w po sta ci książki dru ko wa nej. Sto so wa nie tej Li cen cji za le ca ne jest głównie 
w przy pad ku prac, których ce lem jest in struk taż lub po moc podręcz na. 

1. Zastosowanie i definicje 

Ni niej sza Li cen cja sto su je się do podręczników i in nych prac, na których umiesz czo- 
na jest po chodząca od właści cie la praw au tor skich in for ma cja, że da na pra ca może 
być roz po wszech nia na wyłącznie na wa run kach ni niej szej Li cen cji. Uży wa ne po niż ej 
słowo „Do ku ment" od no sić się bę dzie do wszel kich te go ty pu pu bli ka cji. Ich od bior¬ 
cy na zywanibędąlicencjobior ca mi. 

„Zmo dy fi ko wa na wer sja" Do ku men tu ozna cza wszel kie pra ce za wie rające Do ku- 
ment lub je go czę ść w po sta ci dosłow nej bądź zmo dy fi ko wa nej i/ lub przełożonej na 
inny język. 



2. Kopio wa nie dosłowne 
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„Sek cją dru go rzędną" na zy wa się do da tek opa trzo ny od ręb nym ty tulem lub sek cję 
początkową Dokumentu, która dotyczy wyłącznie związku wydawców lub 
autorów Dokumentu z ogólną tematyką Dokumentu (lub zagadnieniami z nią 
z wiąza nymi)iniezawierażadnychtreścibezpośredniozwiąza nych z og ólną tema¬ 
tyką (na przykład, jeżeli Doku mentsta no wiwczęści podręcz nikma tema ty ki. Sekcja 
dru go rzęd na nie może wy ja śniać za gad nień ma te ma tycz nych). Wy żej wy ja śnią ny 
związek może się na to miast wy ra żać w aspek tach hi sto rycz nym, praw nym, ko mer- 
cyj ny m, f i lo zo f icz ny m, ety cz nym lub po li tycz nym. 

„Sek cje nie zmień ne" to ta kie Sek cje dru go rzęd ne, któ ry ch ty tuły są usta lo ne ja ko ty¬ 
tuły Sek cji nie zmień nych w nocie in for mującej, że Do ku ment zo stał opu bli ko wa ny 
na wa run kach Li cen cji. 

„Tre ść okład ki" to pew ne kró tkie frag men ty tek stu, któ re w no cie in for mującej, że 
Dokument został opublikowany na warunkach Licencji, są opisywane jako „do 
umiesz cze nia na przed niej okład ce" lub „do umiesz cze nia na tyl nej okład ce". 

„Jaw na" ko pia Do ku men tu ozna cza ko pię czy teiną dla kom pu te ra, za pi saną w for¬ 
ma cie, któ re go spe cy fi ka cja jest pu blicz nie do stęp na. Za war tość tej ko pii może być 
oglądana i edytowana bezpośrednio za pomocą typowego edytora tekstu lub 
(w przy pad ku ob ra z ów złożonych z pik se li) za po mocą ty po we go pro gra mu gra- 
ficz ne go lub (w przy pad ku ry sun ków) za po mocą ogól nie do stęp ne go edy to ra ry- 
sun ków. Po nad to ko pia ta sta no wi od po wied nie da ne we jś cio we dla pro gra mów 
for ma tujących tekst lub dla pro gra mów kon wer tujących do róż nych for ma tów od- 
po wied nich dla pro gra mów for ma tujących tekst. Ko pia spełniająca po wy ż sze wa- 
run ki, w któ rej jed nak zo stały wsta wio ne znacz ni ki mające na ce lu utrud nie nie dal¬ 
szych mo dy fi ka cji przez czy tel ni ków, nie jest Jaw na. Ko pię, któ ra nie jest „Jaw na", 
na zy wa się „Nie jawną". 

Przykład o we for ma ty ko pii Jaw nych to: czy sty tekst ASCII bez znaczników, for mat 
we jś cio wy Texin fo, for mat we jś cio wy La TeX, SGML lub XML wy ko rzy stujące pu- 
blicz nie do stęp ne DTD, stan dar do wy pro sty HTML prze zna czo ny do ręcz nej mody 
fikacji. Formaty niejawne to na przykład PostScript, PDF, formaty własne, które 
mogą być od czy ty wa ne i edy to wa ne je dy nie przez własne edy to ry tek stu, SGML lub 
XML, dla których DTD i/lub na rzę dzia prze twa rzające nie są ogólnie do stęp ne, oraz 
HTML wy ge ne ro wa ny ma szy no wo przez niektóre pro ce so ry tek stu je dy nie w ce lu 
uzyska nia da nych wy ni ko wych. 

„Strona tytułowa" oznacza, w przypadku książki drukowanej, samą stronę ty¬ 
tułową oraz kolejne strony zawierające informacje, które zgodnie z tą Licencją 
muszą po ja wić się na stro nie ty tułowej. W przy pad ku prac w for ma tach nie po sia¬ 
dających stro ny ty tułowej „Stro na ty tułowa" ozna cza tekst po ja wiający się naj bliż ej 
ty tulu pra cy, po prze dzający początek tek stu głów ne go. 

2. Kopiowanie dosłowne 

Licencjobiorcamoże kopiować i rozprowadzać Do ku ment ko mer cyj nie lub nie ko- 
mer cyj nie, w do wol nej po sta ci, pod wa run kiem za miesz cze nia na ka ż dej ko pii Do¬ 
ku men tu tre ści Li cen cji, in for ma cji o pra wie au tor skim oraz noty mó wiącej, że do 
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Do ku men tu ma za sto so wa nie ni niej sza Li cen cja, a ta kże pod wa run kiem nie umiesz¬ 
cza nia żad nych do dat ko wych ogra ni czeń, które nie wy ni kają z Li cen cji. Li cen cjo- 
biorca nie ma prawa używać żadnych technicznych metod pomiarowych utrud¬ 
niających lub kon tro lujących czy ta nie lub dal sze ko pio wa nie utwo rzo nych i roz po- 
wszech nia nych przez sie bie ko pii. Może jed nak po bie rac opłaty za udo stęp nia nie 
kopii. WprzypadkudystrybucjidużejliczbykopiiLicencjobiorcajestzobo wiązany 
prze strze gać waru nkó w wy mie nio ny ch w punk cie 3. 

Licencjobiorca może także wypożyczać kopie na warunkach opisanych powyżej, 
a ta kże wy sta wiać je pu blicz nie. 

3. Kopiowanie ilościowe 

JeżeliLicencjobiorcapublikujedruko wane kopie Doku men tu wliczbie większejniż 
100, a licencjaDokumentu wymaga umieszczę nia Treści okład ki, na leży dołączyć 
ko pie okładek, któ re za wie rają całą wy ra źną i czy teiną Tre ść okład ki: tre ść przed niej 
okład ki, na przed niej okład ce, a tre ść tył nej okład ki, na tył nej okład ce. Obie okład ki 
muszą też ja sno i czy tel nie in for mo wać o Li cen cjo bior cy ja ko wy daw cy tych ko pii. 
Okład ka przed nia mu si przed sta wiać pełny ty tuł; wszyst kie słowa muszą być rów¬ 
nie dobrze wi docz ne i czy tel ne. Li cen cjobior ca może na okład kach umiesz czać ta kże 
inne informacje do dat ko we. Ko pio wa nie ze zmia na mi ogra ni czo ny mi do okładek, 
do pó ki nie na ru sza ty tułu Do ku men tu i spełnia opi sa ne wa run ki, może być trak to- 
wa ne pod in ny mi wzglę da mi ja ko ko pio wa nie dosłow ne. 

Je żeli na pi sy wy ma ga ne na którejś z okładek są zbyt ob szer ne, by mogły po zo stać 
czy tel ne po ich umiesz cze niu. Li cen cjo bior ca po wi nien umie ścić ich początek (taką 
ilość, ja ka wy da je się rozsądna) na rze czy wi stej okład ce, a po zo stałą czę ść na sąsied¬ 
nich stronach. 

Wprzy padku publiko wanialub roz po wszech nia niaNiejawnychko pii Dokumentu 
w licz bie wię k szej niż 100, Li cen cjo bior ca zo bo wiąza ny jest al bo dołączyć dokaż dej 
z nich Jawną ko pię czy teiną dla kom pu te ra, al bo wy mie nić w lub przy ka ż dej ko pii 
Nie jawnejpublicznie dostępną wsiecikompu terowejloka lizacjępełnejkopii Jawnej 
Do ku men tu, bez żad nych in for ma cji do da nych - lo ka li za cję, do której ka żdy użyt¬ 
ków nik sie ci miałby bezpłat ny ano ni mo wy do stęp za po mocą stan dar do wych pu¬ 
blicznych protokołów sieciowych. W przypadku drugim Licencjobiorca musisz 
podjąć od po wied nie śród ki ostro żno ści, by wy mie nio na ko pia Jaw na po zo stała do¬ 
stępna we wskazanej lokalizacji przynajmniej przez rok od momentu rozpo¬ 
wszechnię nia ostat niej ko pii Nie jaw nej (bez po śred nie go lub przez agentów al bo 
sprzedawco w) da ne go wyda nia. 

Za le ca się, choć nie wy ma ga, aby przed roz po czę ciem roz po wszech nia nia du żej licz¬ 
by kopiiDo ku men tu. Li cencjobiorcaskon tak to wałsięz je goau torami ce lem uzyska¬ 
nia uak tu al nio nej wer sji Do ku men tu. 



4. Modyfikacje 
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4. Modyfikacje 

Licencjobiorca może kopiować i rozpowszechniać Zmodyfikowaną wersję Doku- 
men tu na za sa dach wy mie nio nych po wy żej w punk cie 2 i 3 pod wa run kiem ścisłego 
przestrzegania ni niej szej Li cen cji. Zmo dy fi ko wa na wer sja pełni wte dy ro lę Do ku- 
men tu, a więc Li cen cja do tycząca mo dy fi ka cji i roz po wszech nia nia Zmo dy fi ko wa- 
nej wer sji prze no szo na jest na ka ż de go, kto po sia da jej ko pię. Po nad to Li cen cjo bior¬ 
ca mu si w sto sun ku do Zmo dy fi ko wa nej wer sji spełnić na stę pujące wy mo gi: 

A. Użyć na Stro nie tytułowej (i na okład kach, o ile ist nieją) tytułu in ne go niż tytuł 
Do ku men tu i in ne go niż tytuły po przed nich wer sji (któ re, o ile ist niały, po win ny 
zo stać wy mie nio ne w Do ku men cie, w sek cji Hi sto ria). Tytułu jed nej z ostat nich 
wer sji Li cen cjo bior ca może użyć, je żeli jej wy daw ca wy ra zi na to zgo dę. 

B. Wy mie nić na Stro nie tytułowej, jako au to rów, jedną lub kil ka osób albo jed no- 
stek od po wie dział nych za au tor stwo mo dy fi ka cji Zmo dy fi ko wa nej wer sji, a ta¬ 
kże przynajmniej pięciu spośród pierwotnych autorów Dokumentu (wszyst¬ 
kich, je śli było ich mniej niż pię ciu). 

C. Umie ścić na Stro nie tytułowej na zwę wy daw cy Zmo dy fi ko wa nej wer sji. 

D. Zachować wszel kie noty o pra wach au tor skich za war tewDokumencie. 

E. Do dać od po wied nią notę o pra wach au tor skich do tyczących mo dy fi ka cji obok 
in nych not o pra wach au tor skich. 

F. Bez po śred nio po no tach o pra wach au tor skich, za mie ścić notę li cen cyjną ze zwa¬ 
lającą na pu blicz ne użyt ko wa nie Zmo dy fi ko wa nej wer sji na za sa dach niniej szej 
Li cen cji w po sta ci poda nej w Załączni ku po niż ej. 

G. Zachować w nocie licencyjnej pełną listę Sekcji niezmiennych i wymaganych 
T re ści okładki podanych w no cie li cen cyj nej Do ku men tu. 

H. Dołączyć nie zmie nioną ko pię ni niej szej Li cen cji. 

I. Za cho wać sek cję za ty tułowaną „Hi sto ria" oraz jej tytuł i do dać do niej in for ma- 
cję do tyczącą przy najm niej tytułu, roku pu bli ka cji, no wych au to rów i wy daw cy 
Zmodyfikowanej wersji zgodnie z danymi zamieszczonymi na Stronie 
tytułowej. Je żeli w Do ku men cie nie ist nie je sek cja pod tytułem „Hi sto ria", na le¬ 
ży ją utwo rzyć, po dając tytuł, rok, au to rów i wy daw cę Do ku men tu zgod nie z 
danymi za miesz czo ny mi na stro nie tytułowej, a na stęp nie do dając in for ma cję 
do tyczącą Zmo dy fi ko wa nej wer sji, jak opi sa no w po przed nim zda niu. 

J. Za cho wać wy mie nioną w Do ku men cie (je śli taka ist niała) in for ma cję o lo ka li za- 
cji sie cio wej, pu blicz nie do stęp nej Jaw nej ko pii Do ku men tu, a ta kże o poda nych 
w Do ku men cie lo ka li za cjach sie cio wych po przed nich wer sji, na któ rych zo stał 
on opar ty. In for ma cje te mogą się znaj do wać w sek cji „Hi sto ria". Ze zwa la się na 
po mi nię cie lo ka li za cji sie cio wej prac, któ re zo stały wy da ne przy najm niej czte ry 
lata przed sa mym Do ku men tern, a ta kże tych, któ rych pier wot ny wy daw ca wy¬ 
ra ża na to zgo dę. 

K. W każdej sekcji zatytułowanej „Podziękowania" lub „Dedykacje" zachować 
tytuł i tre ść, od dając rów nież ton ka ż de go z po dzię ko wań i de dy ka cji. 
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L. Za chować wszelkie Sekcjenie zmienne Do kumen tu wnie zmienionej posta ci (do- 
ty czy za rów no tre ści, jak i tytułu). Nu me ry sek cji i rów no wa żne im ozna cze nia 
nie są trak to wa ne jako na leżące do tytułów sek cji. 

M. Usunąć wszel kie sek cje za ty tułowa ne „Ad no ta cje". Nie muszą one być załącza¬ 
ne w Zmo dy fi ko wa nej wer sji. 

N. Nie nada wać żad nej z ist niejących sek cji tytułu „Ad no ta cje" ani tytułu po kry- 
wającego się z jakąkol wiek Sek cją nie zmienną. 

Je żeli Zmo dy fi ko wa na wer sja za wie ra no we sek cje początko we lub do dat ki sta no- 
wiące Sek cje dru go rzęd ne i nie za wie rające ma te riału sko pio wa ne go z Do ku men tu. 
Li cen cjo bior ca może je lub ich czę ść ozna czyć ja ko sek cje nie zmień ne. W tym ce lu 
mu si on do dać ich ty tuły do li sty Sek cji nie zmień nych za war tej w no cie li cen cyj nej 
Zmo dy fi ko wa nej wer sji. Ty tuły te muszą być róż ne od ty tułów po zo stałych sek cji. 

Li cen cjo bior ca może do dać sek cję „Ad no ta cje", pod wa run kiem, że nie za wie ra ona 
żadnych tre ści in nych niż ad no ta cje do tyczące Zmo dy fi ko wa nej wer sji - mogą to 
być na przykład stwier dze nia o re cen zji ko le że ńskiej al bo o ak cep ta cji tek stu przez 
organizacjęjakoautorytatywnejdefinicjistandardu. 

Na końcu listyTreściokładkiwZmodyfikowanejwersji,Licencjobiorcamożedodać 
fragment „do umieszczenia na przedniej okładce" o długości nie przekraczającej 
pięciu słów, a także fragment o długości do 25 słów „do umieszczenia na tylnej 
okładce". Przez każdą jednostkę (lub na mocy ustaleń przez nią poczynionych) 
może zo stać do da ny tył ko je den frag ment z prze zna cze niem na przed nią okład kę i 
je den z prze zna cze niem na tylną. Je żeli Do ku ment za wie ra już tre ść okład ki dla da¬ 
nej okładki, dodaną uprzednio przez Licencjobiorcę lub w ramach ustaleń z jed¬ 
nostką, w imię niu któr ej działa Li cen cjo bior ca, no wa tre ść okład ki nie może zo stać 
do da na. Do pusz cza się jed nak za stąpię nie po przed niej tre ści okład ki nową pod wa¬ 
runkiem wy raźnejzgody po przed nie go wy dawcy, od którego stara tre śćpo chodzi. 
Ni niej sza Li cen cja nie ozna cza, iż au tor (au to rzy) i wy daw ca (wy daw cy) wy ra żają 
zgo dę na pu blicz ne uży wa nie ich na zwisk w ce lu za pe w nie nia au to ry te tu ja kiej kob 
wiek Zmodyfikowanej wersji. 

5. Łączenie dokumentów 

Licencjobiorcamoże łączyć Dokument z in ny mi do ku men ta mi wy dany mina wa- 
run kach ni niej szej Li cen cji, na wa run kach poda nych dla wer sji zmo dy fi ko wa nych 
w czę ści 4 po wy żej, jed nak tył ko wte dy, gdy w połączę niu zo staną za war te wszyst¬ 
kie Sek cje nie zmień ne wszyst kich ory gi nal nych doku men tów w po sta ci nie zmo dy- 
fi ko wa nej i gdy będą one wy mie nio ne ja ko Sek cje nie zmień ne połączę nia w je go no- 
cielicencyjnej. 

Połączę nie wy ma ga tył ko jed nej ko pii ni niej szej Li cen cji, a kil ka iden tycz nych Sek cji 
nie zmień nych może zo stać za stąpio nych jedną. Je żeli ist nie je kil ka Sek cji nie zmien¬ 
nych o tym sa mym ty tu le, ale różnej za war to ści. Li cen cjo bior ca jest zo bo wiąza ny 
uczy nić ty tuł ka ż dej z nich uni kał nym po przez do da nie na je go ko ńcu, w na wia sach, 
na z wy ory gi nal ne go au to ra lub wy daw cy da nej sek cji, o ile jest zna ny, lub uni kał ne 
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go nu me ru. Po dob ne po praw ki wy ma ga ne są w ty tutach sek cji na liś cie Sek cji nie 
zmień nych w no cie li cen cyj nej połączę nia. 

W połączę niu Li cen cjo bior ca mu si za wrzeć wszyst kie sek cje za ty tułowa ne „Hi ste 
ria" z dokumentów oryginalnych, tworząc jedną sekcję „Historia". Podobnie ma 
postąpićzsekcjami„Podziękowania"i„Dedykacje".Wszystkiesekcjeza tytułowane 
„Ad nota cje" na le ży usunąć. 

6. Zbiory dokumentów 

Licencjobiorca może utworzyć zbiór składający się z Dokumentu i innych do¬ 
kumentów wy da nych zgod nie z ni niejszą Li cen cją i za stąpić poszczególne ko pie Li- 
cen cji po chodzące z tych dokumentów jedną ko pią dołączoną do zbio ru, pod wa run¬ 
kiem za cho wa nia za sad Li cen cji do tyczących ko pii dosłow nych we wszel kich in¬ 
nych aspek tach ka ż de go z do k um entów. 

Z takiego zbioru Licencjobiorca może wyodrębić pojedynczy dokument i rozpo- 
wszech niać go nie za le żnie na za sa dach ni niej szej Li cen cji, pod wa run kiem za miesz¬ 
czę nia w wy od ręb nio nym do ku men cie ko pii ni niej szej Li cen cji oraz za cho wa nia za¬ 
sad Li cen cji we wszyst kich aspek tach do tyczących dosłow nej ko pii te go do ku men tu. 

7. Zestawienia z pracami niezależnymi 

Kom pila cja Do ku men tu lub je go po chód nych zinnymioddzielnymii nie za le żny mi 
do ku men ta mi lub pra ca mi nie jest uzna wa na za Zmo dy fi ko waną wer sję Do ku men 
tu, chyba że od noszą się do niej ja ko do całości pra wa au tor skie .Taka kom pi la cja jest 
nazy wana ze sta wie niem, ani niej sza Li cencjaniedo ty czy samodzielny chpracskom 
pi lo wa nych z Do ku men tern, je śli nie są to po chód ne Do ku men tu. 

Je żeli do ko pii Do ku men tu od noszą się wy ma ga nia do tyczące Tre ści okład ki wy¬ 
mię nio ne w czę ści 3 i je żeli Do ku ment sta no wi mniej niż jedną czwartą całości ze sta¬ 
wienia, Treść okładki Dokumentu może być umieszczona na okładkach zamy¬ 
kających Do ku ment w ob rę bie ze sta wie nia .WprzeciwnymrazieTreśćokladkimusi 
się po ja wić na okład kach całego ze sta wie nia. 

8. Tłumaczenie 

Tluma cze nie jest uzna wa ne za ro dzaj mo dy fi ka cji, a więc Li cen cjo bior ca może roz¬ 
powszechniać tłumaczenia Dokumentu na zasadach wymienionych w punkcie 4. 
Zastąpienie Sekcji niezmiennych ich tłumaczeniem wymaga specjalnej zgody 
właści cie li pra wa au tor skiego.Dopuszczasięjednakzamieszczanietłumaczeń wy- 
bra nych lub wszyst kich Sek cji nie zmień nych obok ich wer sji ory gi nal nych. Poda nie 
tłuma cze nia ni niej szej Li cen cji mo żli we jest pod wa run kiem za miesz cze nia ta kże jej 
oryginalnej wersji angielskiej. W przypadku niezgodnościpomiędzy zamieszcza 
nym tluma cze niem a ory gi nalną wer sją an gielską ni niej szej Li cen cji moc prawną ma 
oryginalna wersjaangielska. 
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Do da tek C: Li nux-podręcz nikąd mi ni stra to ra sie ci. \Ny da nie... 


9. Wygaśnięcie 

Pozaprzypadkamijednoznaczniedopuszczonymina wa run kach ni niej szej Li cen cji 
nie ze zwa la się Li cen cjo bior cy na ko pio wa nie, mo dy fi ko wa nie, czy roz po wszech- 
nianie Do ku men tu ani też na ce do wa nie praw li cen cyj nych. We wszyst kich po zo¬ 
stały ch wy pad kach ka żda pr óba ko pio wa nia, mo dy fi ko wa nia lub roz po wszech nia¬ 
nia Do ku men tu al bo ce do wa nia praw li cen cyj nych jest nie wa żna i po wo du je au to- 
ma tycz ne wy ga śnię cie praw, które li cen cjo bior ca na był z ty tulu Li cen cji. Nie mniej 
jed nak w od nie sie niu do stron, które już otrzy mały od Li cen cjo bior cy ko pie al bo pra¬ 
wa w ra mach ni niej szej Li cen cji, li cen cje nie zo staną anu lo wa ne, dop óki stro ny te 
w pełni się do nich sto sują. 

10. Przyszłe wersje Licencji 

W mia rę po trze by Free So ftwa re Fo un da tion może pu bli ko wać no we po pra wio ne 
wer sje GNUFree Do cu me na tion Li cen se. Wer sje te muszą po zo sta wać w du chu po- 
dob nym do wer sji obec nej, choć mogą się różnić w szczegółach do tyczących no wych 
pr oblemów czy za gad nień. Fatrzhttp://www.gnu.org/copyleft/. 

Ka ż dej wer sji ni niej szej Li cen cji na da je się wyróżniający ją nu mer. Je żeli w Do ku- 
men cie po da je się nu mer wer sji Li cen cji, ozna czający, iż od no si się do nie go poda na 
„lubjakakolwiekpóźniejsza" wersjalicencji,Licencjobiorcamadowyborustosować 
się do po sta no wień i wa run ków al bo tej wer sji, al bo kt órejkolwiek wer sji póź niejszej 
opu bliko wanejofi cjalnie (nie jako pro po zycja)przezFreeSoftwareFounda tion. Jeśli 
Dokumentnie podajenumeruwersjini niej szej Licencji, Licencjobiorca może wy brać 
do wolną wer sję kie dy kol wiekopu bliko waną (nie ja ko pro po zy cja) przez Free So ftwa re 
Foundation. 
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SAGĘ: cech 
administratorów systemu 


Je żeli pisząc ar ty kuły do gru py comp.os.Hnux. * i czy tając do ku men ta cję, nie uzy sku- 
jesz wszyst kich po trzeb nych in for ma cji, być może czas dołączyć do gru py SA GE - 
ce chu ad mi ni stra to rówsys te mu spon so ro wa ne go przez USENIX. Sagę żabie ga o to, 
aby ad mi ni stro wa nie sys te mem zy skało ran gę za wo du. SA GE zrze sza ad mi ni stra¬ 
to rów sys te mów i ad mi ni stra to rów sie ci i po ma ga im roz wi jać umie jęt no ści za wa 
dowe,zapewniaforumdzieleniasięproblemamiiichrozwiązywa nia orazpozwala 
dys ku to wać użyt kow ni kom, zarządom i pro du cen tom na te ma ty związa ne z ad mi¬ 
nistra waniemsys ternem. 

Do ak tua lny ch inic jaty w SA GE na leżą: 

• Wspólnesponsorowanie wraz z USENIX-em dorocznejkonferencji dla admini¬ 
stratorów sys te mów (LIS A). 

• Publikowanie Job Descriptions for System Administrators, redagowanej przez Tinę 
Dar mohray, pierw szej se rii prak tycz nych bro szu rek i prz e wo dników po za so bach 
obej mujących za gad nie nia i tech ni ki związane z ad mi ni stro wa niem sys te mem. 

• Tworzenieośrodkówarchiwum,ftp.sage.usenix.org, gdzie są gromadzone re fe- 
ra ty z kon fe ren cji adm in ist ratorów sys temu i do ku men ta cja związana z ad mi ni- 
strowaniemsys ternem. 

• Tworzenie grup roboczych w obszarach istotnych dla administratorów syste¬ 
mów, jak zadania, publikacje, polityki, elektroniczne rozpowszechnianie infor¬ 
macji, edu ka cja, pro du cen ci i stan dar dy. 

Aby do wie dzieć się wię cej na te mat sto wa rzy sze nia USENIX i je go spe cjal nej sek cji 
tech nicz nej SA GE, skon tak tuj się z biu rem sto wa rzy sze nia pod nu me rem te le fo nu 
(510) 52 8- 86 49 w Sta nach Zjed no czo nych lub za po śred nic twem pocz ty elek tro nicz- 
nej: office@usenix.org. Aby otrzymać elektroniczne informacje, napisz na adres: in- 
fo@usenix.org. Roczna składka dla członków SAGĘ to 25 USD (musisz być także 
członkiem USENIX). Członkowie są uprawnieni do bezpłatnego otrzymywania 
kwartalników tech nicznych„lo gin:" i „Com pu ting Sys tems" oraz mają ra ba ty przy 
re je stra cji na kon fe ren cjach i sym po zjach, a także przy za ku pie pu bli ka cji i in nych 
usług SA GE. 
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